RDP על הרדאר: מבט מקרוב על איומי גישה מרחוק מתפתחים PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

RDP על הרדאר: מבט מקרוב על איומי גישה מרחוק המתפתחים

חותמת זמן: 7 בספטמבר 2022 5:30

שירותי גישה מרחוק לא מוגדרים ממשיכים לתת לשחקנים גרועים נתיב גישה קל לרשתות החברה - כך תוכל למזער את החשיפה שלך להתקפות תוך שימוש לרעה בפרוטוקול שולחן עבודה מרוחק

כשמגיפת ה-COVID-19 התפשטה ברחבי העולם, רבים מאיתנו, כולל אני, פנו לעבוד במשרה מלאה מהבית. רבים מעובדי ESET כבר היו רגילים לעבוד מרחוק חלק מהזמן, וזה היה במידה רבה עניין של הגדלת משאבים קיימים כדי להתמודד עם הזרם של עובדים מרחוק חדשים, כמו רכישת עוד כמה מחשבים ניידים ורישיונות VPN.

עם זאת, לא ניתן לומר את אותו הדבר על ארגונים רבים ברחבי העולם, שנאלצו להגדיר גישה לכוח העבודה המרוחק שלהם מאפס או לפחות להגדיל באופן משמעותי את שרתי Remote Desktop Protocol (RDP) שלהם כדי להפוך את הגישה מרחוק לשמישה עבור רבים משתמשים במקביל.

כדי לעזור לאותן מחלקות IT, במיוחד לאלה שכוח עבודה מרוחק היה משהו חדש עבורן, עבדתי עם מחלקת התוכן שלנו כדי ליצור מאמר שדן בסוגי ההתקפות ש-ESET ראתה שמכוונות ספציפית ל-RPP, וכמה צעדים בסיסיים לאבטחה מפניהם . ניתן למצוא את הנייר הזה כאן בבלוג הארגוני של ESET, למקרה שאתה סקרן.

בערך באותו זמן שהשינוי הזה התרחש, ESET הציגה מחדש את הגלובלי שלנו דוחות איום, ואחד הדברים שציינו הוא שהתקפות RDP המשיכו לגדול. לפי שלנו דו"ח איומים לארבעת החודשים הראשונים של 2022, מעל 100 מיליארדים התקפות כאלה נוסו, יותר ממחציתן אותרו לחסימות כתובות IP רוסיות.

ברור שהיה צורך להעיף מבט נוסף על ניצולי RDP שפותחו, וההתקפות שהם אפשרו, במהלך השנים האחרונות כדי לדווח על מה ש-ESET רואה דרך מודיעין האיומים והטלמטריה שלה. אז, עשינו בדיוק את זה: גרסה חדשה של המאמר שלנו לשנת 2020, שכותרתה כעת פרוטוקול שולחן עבודה מרוחק: הגדרת גישה מרחוק עבור כוח עבודה מאובטח, פורסם כדי לשתף מידע זה.

מה קורה עם RDP?

בחלק הראשון של מאמר מתוקן זה, אנו בוחנים כיצד התפתחו התקפות במהלך השנים האחרונות. דבר אחד שהייתי רוצה לשתף הוא שלא כל התקפה גדלה. עבור סוג אחד של פגיעות, ESET ראתה ירידה ניכרת בניסיונות הניצול:

  • זיהויים של BlueKeep (CVE-2019-0708) ניצול התולעת בשירותי שולחן עבודה מרוחק ירד ב-44% מהשיא שלהם בשנת 2020. אנו מייחסים ירידה זו לשילוב של נוהלי תיקון עבור גרסאות מושפעות של Windows בתוספת הגנת ניצול בהיקף הרשת.

איור 1. זיהוי "BlueKeep" של CVE-2019-0708 ברחבי העולם (מקור: ESET telemetry)

אחת התלונות הנשמעות רבות על חברות אבטחת מחשבים היא שהן מבזבזות יותר מדי זמן בדיבור על כך שהאבטחה תמיד מחמירה ואינה משתפרת, ושכל חדשות טובות הן נדירות וחולפות. חלק מהביקורת הזו נכונה, אבל אבטחה היא תמיד תהליך מתמשך: איומים חדשים תמיד צצים. במקרה זה, לראות ניסיונות לנצל פגיעות כמו BlueKeep יורדים עם הזמן נראה כמו חדשות טובות. RDP נשאר בשימוש נרחב, וזה אומר שתוקפים ימשיכו לערוך מחקר על נקודות תורפה שהם יכולים לנצל.

כדי שמעמד של מעללים ייעלם, כל מה שפגיע אליהם צריך להפסיק להשתמש בו. הפעם האחרונה שאני זוכר שראיתי שינוי נרחב כל כך הייתה כשמיקרוסופט הוציאה את Windows 7 ב-2009. Windows 7 הגיע עם תמיכה ב-AutoRun (AUTORUN.INF) מושבתת. מיקרוסופט החזירה את השינוי הזה לכל הגרסאות הקודמות של Windows, אם כי לא בצורה מושלמת בפעם הראשונה. תכונה מאז שוחרר Windows 95 בשנת 1995, בוצעה שימוש לרעה ב-AutoRun כדי להפיץ תולעים כמו Conficker. בשלב מסוים, תולעים מבוססות AUTORUN.INF היוו כמעט רבע מהאיומים שבהם נתקלה התוכנה של ESET. כיום, הם מהווים תחת א עשירית האחוז של גילויים.

בניגוד ל-AutoPlay, RDP נשאר תכונה בשימוש קבוע של Windows ורק בגלל שיש ירידה בשימוש של ניצול בודד נגדו זה לא אומר שההתקפות נגדו בכללותן נמצאות בירידה. למען האמת, ההתקפות נגד הפגיעויות שלו גדלו באופן מסיבי, מה שמעלה אפשרות נוספת לירידה בזיהויים של BlueKeep: ניצול RDP אחרים עשויים להיות כל כך הרבה יותר יעילים שהתוקפים עברו אליהם.

הסתכלות על נתונים של שנתיים מתחילת 2020 ועד סוף 2021 נראה להסכים עם הערכה זו. במהלך אותה תקופה, טלמטריית ESET מראה עלייה מסיבית בניסיונות חיבור RDP זדוניים. כמה גדול היה הקפיצה? ברבעון הראשון של 2020 ראינו 1.97 מיליארד ניסיונות חיבור. ברבעון הרביעי של 2021, זה קפץ ל-166.37 מיליארד ניסיונות חיבור, גידול של למעלה מ-8,400%!

RDP על הרדאר: מבט מקרוב על איומי גישה מרחוק מתפתחים PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

איור 2. ניסיונות חיבור RDP זדוניים זוהו ברחבי העולם (מקור: ESET telemetry). מספרים מוחלטים מעוגלים

ברור שתוקפים מוצאים ערך בחיבור למחשבים של ארגונים, בין אם לצורך ביצוע ריגול, השתלת תוכנות כופר או מעשה פלילי אחר. אבל אפשר גם להתגונן מפני התקפות אלו.

החלק השני של המאמר המתוקן מספק הנחיות מעודכנות לגבי הגנה מפני התקפות על RDP. אף שהעצה הזו מכוונת יותר לאותם מומחי IT שאולי לא רגילים להקשיח את הרשת שלהם, היא מכילה מידע שעשוי אפילו להועיל לצוות מנוסה יותר.

נתונים חדשים על התקפות SMB

עם סט הנתונים על התקפות RDP הגיעה תוספת בלתי צפויה של טלמטריה מניסיונות התקפות של חסימת הודעות שרת (SMB). בהתחשב בבונוס הנוסף הזה, לא יכולתי שלא להסתכל על הנתונים, והרגשתי שהם מלאים ומעניינים מספיק כדי שניתן יהיה להוסיף לעיתון סעיף חדש על התקפות SMB והגנות נגדן.

ניתן לחשוב על SMB כפרוטוקול נלווה ל-RDP, בכך שהוא מאפשר גישה לקבצים, למדפסות ומשאבי רשת אחרים מרחוק במהלך הפעלת RDP. בשנת 2017 יצא לאור לציבור של ה-EternalBlue (CVE-2017-0144) ניצול שניתן לסליעה. השימוש בניצול המשיך לגדול 2018, 2019, ולתוך 2020, על פי טלמטריית ESET.

RDP על הרדאר: מבט מקרוב על איומי גישה מרחוק מתפתחים PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

איור 3. CVE -2017-0144 זיהוי "EternalBlue" ברחבי העולם (מקור: ESET telemetry)

הפגיעות שניצלה על ידי EternalBlue קיימת רק ב-SMBv1, גרסה של הפרוטוקול שראשיתה בשנות ה-1990. עם זאת, SMBv1 יושם באופן נרחב במערכות הפעלה ובמכשירים ברשת במשך עשרות שנים ורק בשנת 2017 החלה מיקרוסופט לשלוח גרסאות של Windows עם SMBv1 מושבת כברירת מחדל.

בסוף 2020 ועד 2021, ESET ראתה ירידה ניכרת בניסיונות לנצל את הפגיעות EternalBlue. בדומה ל-BlueKeep, ESET מייחסת את ההפחתה הזו בזיהויים לנוהלי תיקון, הגנות משופרות בהיקף הרשת וירידה בשימוש ב-SMBv1.

מחשבות סופיות

חשוב לציין שמידע זה המוצג במאמר מתוקן זה נאסף מהטלמטריה של ESET. בכל פעם שעובדים עם נתוני טלמטריית איומים, יש תנאים מסוימים שיש להחיל על פרשנותם:

  1. שיתוף טלמטריית איומים עם ESET הוא אופציונלי; אם לקוח לא יתחבר למערכת LiveGrid® של ESET או ישתף נתונים סטטיסטיים אנונימיים עם ESET, אז לא יהיו לנו נתונים על מה התקנת התוכנה של ESET נתקלה בו.
  2. הזיהוי של פעילות RDP ו-SMB זדונית נעשה באמצעות מספר שכבות של ההגנה של ESET טכנולוגיות, לרבות הגנת Botnet, הגנה מפני התקפה של כוח גס, הגנה מפני תקיפות רשת, וכן הלאה. לא לכל התוכניות של ESET יש שכבות הגנה אלו. לדוגמה, ESET NOD32 Antivirus מספק רמה בסיסית של הגנה מפני תוכנות זדוניות למשתמשים ביתיים ואין לו שכבות הגנה אלו. הם קיימים ב-ESET Internet Security וב-ESET Smart Security Premium, כמו גם בתוכניות הגנת נקודות הקצה של ESET למשתמשים עסקיים.
  3. למרות שלא נעשה בו שימוש בהכנת מאמר זה, דוחות איומים של ESET מספקים נתונים גיאוגרפיים עד לרמת האזור או המדינה. זיהוי GeoIP הוא תערובת של מדע ואמנות, וגורמים כמו השימוש ב-VPN והבעלות המשתנה במהירות על בלוקים של IPv4 יכולים להשפיע על דיוק המיקום.
  4. כמו כן, ESET הוא אחד מהמגנים הרבים בתחום הזה. טלמטריה מספרת לנו אילו התקנות של תוכנת ESET מונעות, אך ל-ESET אין תובנה במה נתקלים לקוחות של מוצרי אבטחה אחרים.

בגלל גורמים אלה, המספר המוחלט של התקפות הולך להיות גבוה ממה שאנו יכולים ללמוד מהטלמטריה של ESET. עם זאת, אנו מאמינים שהטלמטריה שלנו היא ייצוג מדויק של המצב הכולל; העלייה והירידה הכוללת בזיהויים של התקפות שונות, באחוזים, כמו גם מגמות התקיפה שציינה ESET, צפויים להיות דומים בכל תעשיית האבטחה.

תודה מיוחדת לעמיתיי ברוס פ. בורל, ג'קוב פיליפ, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcana, ופיטר Stančík על הסיוע שלהם בעדכון מאמר זה.

אריה גורצקי, ZCSE, rMVP
חוקר נכבד, ESET

בול זמן:

עוד מ אנחנו חיים אבטחה