リモート アクセス サービスの設定ミスにより、攻撃者は企業ネットワークへの簡単なアクセス パスを提供し続けています。リモート デスクトップ プロトコルを悪用した攻撃にさらされる可能性を最小限に抑える方法は次のとおりです。
COVID-19 のパンデミックが世界中に広がるにつれ、私を含め、私たちの多くはフルタイムで在宅勤務するようになりました。 ESET の従業員の多くは、一部の時間はすでにリモートで作業することに慣れており、ラップトップや VPN ライセンスを追加購入するなど、新しいリモート ワーカーの流入に対処するために、既存のリソースを拡大することが主な課題でした。
しかし、世界中の多くの組織では、リモート ワーカーのアクセスをゼロから設定するか、リモート デスクトップ プロトコル (RDP) サーバーを大幅にスケールアップして、リモート アクセスを多くのユーザーが使用できるようにする必要がありました。同時ユーザー。
これらの IT 部門、特にリモート ワーカーが何か新しいものである IT 部門を支援するために、私はコンテンツ部門と協力して、ESET が確認した、特に RDP を標的とした攻撃の種類と、それらに対して保護するためのいくつかの基本的な手順について説明する文書を作成しました。 . その紙を見つけることができます ESETの企業ブログはこちら、興味がある場合に備えて。
この変更が行われたのとほぼ同時期に、ESET はグローバルな 脅威レポート、そして注目したことの XNUMX つは、RDP 攻撃が増加し続けていることです。 私たちによると 2022 年最初の XNUMX か月の脅威レポート、100以上 十億 このような攻撃が試みられましたが、その半分以上はロシアの IP アドレス ブロックにまでさかのぼります。
明らかに、過去数年間に開発された RDP エクスプロイトとそれらが可能にした攻撃をもう一度見て、ESET がその脅威インテリジェンスとテレメトリを通じて見たものを報告する必要がありました. 2020 年の論文の新しいバージョンは、現在、 リモート デスクトップ プロトコル: 安全な従業員のためのリモート アクセスの構成、その情報を共有するために公開されています。
RDP に何が起こっているのですか?
この改訂された論文の最初の部分では、過去数年間で攻撃がどのように進化したかを見ていきます。 共有したいことの XNUMX つは、すべての攻撃が増加しているわけではないということです。 あるタイプの脆弱性について、ESET は悪用の試みが著しく減少したことを確認しました。
- BlueKeep の検出 (CVE-2019-0708) リモート デスクトップ サービスでのワーム可能なエクスプロイトは、44 年のピークから 2020% 減少しました。この減少は、影響を受けるバージョンの Windows へのパッチ適用と、ネットワーク境界でのエクスプロイト保護の組み合わせによるものであると考えられます。
コンピューター セキュリティ企業についてよく耳にする不満の XNUMX つは、セキュリティが常に悪化し、改善されていないこと、および良いニュースがまれで一時的なものであるということについて、彼らがあまりにも多くの時間を費やしていることです。 その批判の一部は有効ですが、セキュリティは常に進行中のプロセスです。新しい脅威は常に出現しています。 この場合、BlueKeep のような脆弱性を悪用する試みが時間の経過とともに減少していることは朗報のように思えます。 RDP は依然として広く使用されており、これは、攻撃者が悪用できる脆弱性に関する調査を継続することを意味します。
エクスプロイトのクラスが消滅するためには、エクスプロイトに対して脆弱なものは何でも使用されないようにする必要があります。 このような広範な変更を最後に目にしたのは、Microsoft が 7 年に Windows 2009 をリリースしたときです。Windows 7 では、AutoRun (AUTORUN.INF) のサポートが無効になっていました。 その後、Microsoft はこの変更を以前のすべてのバージョンの Windows にバックポートしましたが、完全ではありませんでした。 初回. 95 年に Windows 1995 がリリースされてからの機能である AutoRun は、次のようなワームを広めるために悪用されました。 Confickerの. ある時点で、AUTORUN.INF ベースのワームは、ESET のソフトウェアが遭遇した脅威のほぼ XNUMX 分の XNUMX を占めていました。 今日、彼らは XNUMX 分の XNUMX パーセント 検出の。
自動再生とは異なり、RDP は依然として Windows の定期的に使用される機能であり、RDP に対する単一のエクスプロイトの使用が減少したからといって、RDP に対する攻撃全体が減少しているわけではありません。 実際のところ、その脆弱性に対する攻撃は大幅に増加しており、BlueKeep の検出数が減少している別の可能性があります。他の RDP エクスプロイトは非常に効果的であるため、攻撃者はそれらに切り替えた可能性があります。
2020 年の初めから 2021 年末までの 2020 年間のデータを見ると、この評価と一致するように思われます。 その期間中、ESET テレメトリは、悪意のある RDP 接続の試行が大幅に増加したことを示しています。 ジャンプの大きさはどれくらいでしたか? 1.97 年の第 2021 四半期には、166.37 億 8,400 万回の接続試行がありました。 XNUMX 年の第 XNUMX 四半期までに、接続試行回数は XNUMX 億 XNUMX 万回に跳ね上がり、XNUMX% 以上増加しました!
図 2. 世界中で検出された悪意のある RDP 接続試行 (出典: ESET テレメトリ)。 絶対数は四捨五入
明らかに、攻撃者は、スパイ活動の実施、ランサムウェアの仕込み、その他の犯罪行為など、組織のコンピュータに接続することに価値を見出しています。 しかし、これらの攻撃を防御することも可能です。
改訂されたペーパーの第 XNUMX 部では、RDP への攻撃に対する防御に関する最新のガイダンスを提供しています。 このアドバイスは、ネットワークの強化に慣れていない IT プロフェッショナルを対象としていますが、経験豊富なスタッフにとっても役立つ情報が含まれています。
SMB 攻撃に関する新しいデータ
RDP 攻撃に関する一連のデータとともに、試みられたサーバー メッセージ ブロック (SMB) 攻撃からのテレメトリが予期せず追加されました。 この追加のボーナスを考えると、私はデータを見ずにはいられませんでした.SMB攻撃とそれらに対する防御に関する新しいセクションを論文に追加するのに十分なほど完全で興味深いと感じました.
SMB は、RDP セッション中にファイル、プリンター、およびその他のネットワーク リソースにリモート アクセスできるという点で、RDP のコンパニオン プロトコルと考えることができます。 2017 年に EternalBlue (CVE-2017-0144) ワーム可能なエクスプロイト。 エクスプロイトの使用は、 2018, 2019、そしてに 2020、ESET テレメトリによると。
図 3. 世界中で検出された CVE -2017-0144 “EternalBlue” (出典: ESET テレメトリー)
EternalBlue によって悪用される脆弱性は、1 年代にさかのぼるプロトコルのバージョンである SMBv1990 にのみ存在します。 ただし、SMBv1 は何十年にもわたってオペレーティング システムとネットワーク デバイスに広く実装されており、Microsoft が SMBv2017 をデフォルトで無効にしたバージョンの Windows の出荷を開始したのは 1 年のことでした。
2020 年末から 2021 年にかけて、ESET は EternalBlue の脆弱性を悪用する試みが著しく減少したことを確認しました。 BlueKeep の場合と同様に、ESET はこの検出数の減少は、パッチの適用、ネットワーク境界での保護の改善、および SMBv1 の使用の減少に起因すると考えています。
最終的な考え
この改訂された文書に示されているこの情報は、ESET のテレメトリから収集されたものであることに注意することが重要です。 脅威のテレメトリ データを扱うときはいつでも、それを解釈するために適用する必要がある特定の条件があります。
- ESET との脅威テレメトリの共有はオプションです。 お客様が ESET の LiveGrid® システムに接続していないか、匿名化された統計データを ESET と共有していない場合、ESET のソフトウェアのインストールで発生したものに関するデータはありません。
- 悪意のある RDP および SMB アクティビティの検出は、ESET の保護の複数のレイヤーを通じて行われます。 技術含みます ボットネット保護, ブルート フォース攻撃保護, ネットワーク攻撃保護など。 ESET のすべてのプログラムにこれらの保護層があるわけではありません。 たとえば、ESET NOD32 Antivirus は、ホーム ユーザーにマルウェアに対する基本レベルの保護を提供しますが、これらの保護レイヤーはありません。 これらは、ESET インターネット セキュリティと ESET スマート セキュリティ プレミアム、およびビジネス ユーザー向けの ESET のエンドポイント保護プログラムに含まれています。
- このホワイト ペーパーの作成では使用されませんでしたが、ESET 脅威レポートは、地域または国レベルまでの地理的データを提供します。 GeoIP 検出は科学と芸術の融合であり、VPN の使用や急速に変化する IPv4 ブロックの所有権などの要因が位置情報の精度に影響を与える可能性があります。
- 同様に、ESET はこの分野の多くの防御者の XNUMX つです。 テレメトリは、ESET のソフトウェアのインストールが妨げているものを教えてくれますが、ESET は、他のセキュリティ製品の顧客が何に直面しているかについての洞察を持っていません.
これらの要因により、攻撃の絶対数は、ESET のテレメトリからわかるよりも多くなります。 とはいえ、テレメトリは全体的な状況を正確に表していると考えています。 さまざまな攻撃の検出の全体的な増加と減少、および ESET が指摘した攻撃の傾向は、セキュリティ業界全体で類似している可能性があります。
同僚の Bruce P. Burrell、Jakub Filip、Tomáš Foltýn、Rene Holt、Előd Kironský、Ondrej Kubovič、Gabrielle Ladouceur-Despins、Zuzana Pardubská、Linda Skrúcaná、Peter Stančík には、この論文の改訂に協力していただき、特に感謝しています。
アリエ・ゴレツキー、ZCSE、rMVP
ESET 特別研究員
