Layanan akses jarak jauh yang salah dikonfigurasi terus memberikan jalur akses yang mudah kepada pelaku kejahatan ke jaringan perusahaan – inilah cara Anda dapat meminimalkan paparan terhadap serangan yang menyalahgunakan Protokol Desktop Jarak Jauh
Ketika pandemi COVID-19 menyebar ke seluruh dunia, banyak dari kita, termasuk saya, beralih bekerja penuh waktu dari rumah. Banyak karyawan ESET sudah terbiasa bekerja dari jarak jauh sebagian besar waktu, dan sebagian besar masalah meningkatkan sumber daya yang ada untuk menangani masuknya pekerja jarak jauh baru, seperti membeli beberapa laptop lagi dan lisensi VPN.
Namun, hal yang sama tidak dapat dikatakan untuk banyak organisasi di seluruh dunia, yang harus mengatur akses untuk tenaga kerja jarak jauh mereka dari awal atau setidaknya secara signifikan meningkatkan server Remote Desktop Protocol (RDP) mereka untuk membuat akses jarak jauh dapat digunakan oleh banyak orang. pengguna bersama.
Untuk membantu departemen TI tersebut, terutama yang tenaga kerja jarak jauhnya adalah sesuatu yang baru, saya bekerja dengan departemen konten kami untuk membuat makalah yang membahas jenis serangan yang dilihat ESET yang secara khusus menargetkan RDP, dan beberapa langkah dasar untuk mengamankannya. . Kertas itu dapat ditemukan di sini di blog perusahaan ESET, jika Anda penasaran.
Kira-kira pada saat yang sama perubahan ini terjadi, ESET memperkenalkan kembali global kami laporan ancaman, dan salah satu hal yang kami catat adalah serangan RDP terus berkembang. menurut kami laporan ancaman untuk empat bulan pertama tahun 2022, lebih dari 100 milyar serangan seperti itu dicoba, lebih dari setengahnya dilacak kembali ke blok alamat IP Rusia.
Jelas, ada kebutuhan untuk melihat kembali eksploitasi RDP yang dikembangkan, dan serangan yang dimungkinkan, selama beberapa tahun terakhir untuk melaporkan apa yang dilihat ESET melalui intelijen ancaman dan telemetri. Jadi, kami telah melakukan hal itu: versi baru makalah 2020 kami, sekarang berjudul Protokol Desktop Jarak Jauh: Mengonfigurasi akses jarak jauh untuk tenaga kerja yang aman, telah diterbitkan untuk membagikan informasi tersebut.
Apa yang terjadi dengan RDP?
Di bagian pertama dari makalah yang direvisi ini, kita melihat bagaimana serangan telah berkembang selama beberapa tahun terakhir. Satu hal yang ingin saya bagikan adalah bahwa tidak setiap serangan meningkat. Untuk satu jenis kerentanan, ESET melihat penurunan nyata dalam upaya eksploitasi:
- Deteksi BlueKeep (CVE-2019-0708) eksploitasi wormable di Layanan Desktop Jarak Jauh telah menurun 44% dari puncaknya pada tahun 2020. Kami mengaitkan penurunan ini dengan kombinasi praktik tambalan untuk versi Windows yang terpengaruh ditambah perlindungan eksploitasi di perimeter jaringan.
Salah satu keluhan yang sering terdengar tentang perusahaan keamanan komputer adalah bahwa mereka menghabiskan terlalu banyak waktu untuk berbicara tentang bagaimana keamanan selalu semakin buruk dan tidak membaik, dan bahwa setiap kabar baik jarang terjadi dan bersifat sementara. Beberapa kritik itu valid, tetapi keamanan selalu merupakan proses yang berkelanjutan: ancaman baru selalu muncul. Dalam hal ini, melihat upaya untuk mengeksploitasi kerentanan seperti BlueKeep berkurang dari waktu ke waktu sepertinya merupakan kabar baik. RDP tetap digunakan secara luas, dan ini berarti bahwa penyerang akan terus melakukan penelitian tentang kerentanan yang dapat mereka eksploitasi.
Agar kelas eksploitasi menghilang, apa pun yang rentan terhadapnya harus berhenti digunakan. Terakhir kali saya ingat melihat perubahan yang begitu luas adalah ketika Microsoft merilis Windows 7 pada tahun 2009. Windows 7 datang dengan dukungan untuk AutoRun (AUTORUN.INF) dinonaktifkan. Microsoft kemudian mem-backport perubahan ini ke semua versi Windows sebelumnya, meskipun tidak sempurna pertama kali. Sebuah fitur sejak Windows 95 dirilis pada tahun 1995, AutoRun banyak disalahgunakan untuk menyebarkan worm seperti conficker. Pada satu titik, worm berbasis AUTORUN.INF menyumbang hampir seperempat dari ancaman yang dihadapi oleh perangkat lunak ESET. Hari ini, mereka menyumbang di bawah sepersepuluh persen dari deteksi.
Tidak seperti AutoPlay, RDP tetap menjadi fitur Windows yang biasa digunakan dan hanya karena ada penurunan penggunaan eksploitasi tunggal terhadapnya, itu tidak berarti bahwa serangan terhadapnya secara keseluruhan menurun. Faktanya, serangan terhadap kerentanannya telah meningkat secara besar-besaran, yang memunculkan kemungkinan lain untuk penurunan deteksi BlueKeep: Eksploitasi RDP lain mungkin jauh lebih efektif sehingga penyerang telah beralih ke mereka.
Melihat data selama dua tahun dari awal 2020 hingga akhir 2021 tampaknya setuju dengan penilaian ini. Selama periode itu, telemetri ESET menunjukkan peningkatan besar-besaran dalam upaya koneksi RDP berbahaya. Seberapa besar lompatannya? Pada kuartal pertama tahun 2020, kami melihat 1.97 miliar upaya koneksi. Pada kuartal keempat tahun 2021, telah melonjak menjadi 166.37 miliar upaya koneksi, meningkat lebih dari 8,400%!
Gambar 2. Upaya koneksi RDP berbahaya terdeteksi di seluruh dunia (sumber: telemetri ESET). Angka mutlak dibulatkan
Jelas, penyerang menemukan nilai dalam menghubungkan ke komputer organisasi, baik untuk melakukan spionase, menanam ransomware, atau tindakan kriminal lainnya. Tetapi juga memungkinkan untuk bertahan dari serangan ini.
Bagian kedua dari makalah yang direvisi memberikan panduan terbaru tentang pertahanan terhadap serangan terhadap RDP. Meskipun saran ini lebih ditujukan untuk para profesional TI yang mungkin tidak terbiasa dengan pengerasan jaringan mereka, saran ini berisi informasi yang bahkan dapat membantu staf yang lebih berpengalaman.
Data baru tentang serangan SMB
Dengan kumpulan data pada serangan RDP, datang tambahan telemetri yang tidak terduga dari percobaan serangan Server Message Block (SMB). Dengan bonus tambahan ini, mau tidak mau saya melihat datanya, dan merasa itu cukup lengkap dan menarik sehingga bagian baru tentang serangan SMB, dan pertahanan terhadapnya, dapat ditambahkan ke kertas.
SMB dapat dianggap sebagai protokol pendamping untuk RDP, yang memungkinkan file, printer, dan sumber daya jaringan lainnya untuk diakses dari jarak jauh selama sesi RDP. 2017 melihat rilis publik dari EternalBlue (CVE-2017-0144) eksploitasi cacing. Penggunaan eksploitasi terus berkembang melalui 2018, 2019, dan menjadi 2020, menurut telemetri ESET.
Gambar 3. CVE -2017-0144 Deteksi “EternalBlue” di seluruh dunia (Sumber: telemetri ESET)
Kerentanan yang dieksploitasi oleh EternalBlue hanya ada di SMBv1, versi protokol yang berasal dari tahun 1990-an. Namun, SMBv1 diimplementasikan secara luas di sistem operasi dan perangkat jaringan selama beberapa dekade dan baru pada tahun 2017 Microsoft mulai mengirimkan versi Windows dengan SMBv1 dinonaktifkan secara default.
Pada akhir tahun 2020 dan hingga tahun 2021, ESET mengalami penurunan yang nyata dalam upaya untuk mengeksploitasi kerentanan EternalBlue. Seperti halnya BlueKeep, ESET mengaitkan pengurangan deteksi ini dengan praktik patching, peningkatan perlindungan di perimeter jaringan, dan penurunan penggunaan SMBv1.
Pesan terakhir
Penting untuk dicatat bahwa informasi yang disajikan dalam makalah yang direvisi ini dikumpulkan dari telemetri ESET. Setiap kali seseorang bekerja dengan data telemetri ancaman, ada ketentuan tertentu yang harus diterapkan untuk menafsirkannya:
- Berbagi telemetri ancaman dengan ESET adalah opsional; jika pelanggan tidak terhubung ke sistem LiveGrid® ESET atau berbagi data statistik anonim dengan ESET, maka kami tidak akan memiliki data apa pun tentang instalasi perangkat lunak ESET mereka.
- Deteksi aktivitas RDP dan SMB berbahaya dilakukan melalui beberapa lapisan pelindung ESET teknologi, termasuk Perlindungan Botnet, Perlindungan Serangan Brute Force, Perlindungan Serangan Jaringan, Dan seterusnya. Tidak semua program ESET memiliki lapisan perlindungan ini. Misalnya, ESET NOD32 Antivirus memberikan perlindungan tingkat dasar terhadap malware untuk pengguna rumahan dan tidak memiliki lapisan pelindung ini. Mereka hadir dalam ESET Internet Security dan ESET Smart Security Premium, serta dalam program perlindungan titik akhir ESET untuk pengguna bisnis.
- Meskipun tidak digunakan dalam penyusunan makalah ini, laporan ancaman ESET menyediakan data geografis hingga ke tingkat wilayah atau negara. Deteksi GeoIP adalah campuran ilmu pengetahuan dan seni, dan faktor-faktor seperti penggunaan VPN dan kepemilikan blok IPv4 yang berubah dengan cepat dapat berdampak pada akurasi lokasi.
- Demikian juga, ESET adalah salah satu dari banyak pembela di ruang ini. Telemetri memberi tahu kita apa yang dicegah oleh instalasi perangkat lunak ESET, tetapi ESET tidak memiliki wawasan tentang apa yang dihadapi pelanggan produk keamanan lainnya.
Karena faktor-faktor ini, jumlah absolut serangan akan lebih tinggi daripada yang dapat kita pelajari dari telemetri ESET. Yang mengatakan, kami percaya bahwa telemetri kami adalah representasi akurat dari situasi keseluruhan; peningkatan dan penurunan keseluruhan dalam deteksi berbagai serangan, berdasarkan persentase, serta tren serangan yang dicatat oleh ESET, cenderung serupa di seluruh industri keamanan.
Terima kasih khusus kepada rekan-rekan saya Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná, dan Peter Stančík atas bantuan mereka dalam merevisi makalah ini.
Aryeh Goretsky, ZCSE, rMVP
Peneliti Terhormat, ESET
- blockchain
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- Riset ESET
- firewall
- Kaspersky
- malware
- mcafe
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- VPN
- Kami Hidup Keamanan
- website security
- zephyrnet.dll
