RDP op de radar: een close-up van de evoluerende bedreigingen voor externe toegang

Toen de COVID-19-pandemie zich over de hele wereld verspreidde, gingen velen van ons, waaronder ikzelf, fulltime vanuit huis werken. Veel van de medewerkers van ESET waren al gewend om een ​​deel van de tijd op afstand te werken, en het was grotendeels een kwestie van het opschalen van bestaande middelen om de toestroom van nieuwe externe medewerkers aan te kunnen, zoals de aanschaf van nog een paar laptops en VPN-licenties.

Hetzelfde kon echter niet gezegd worden van veel organisaties over de hele wereld, die ofwel de toegang voor hun externe personeel helemaal opnieuw moesten opzetten of op zijn minst hun Remote Desktop Protocol (RDP)-servers aanzienlijk moesten opschalen om externe toegang voor velen bruikbaar te maken. gelijktijdige gebruikers.

Om die IT-afdelingen te helpen, met name degenen voor wie een extern personeelsbestand iets nieuws was, werkte ik samen met onze contentafdeling om een ​​paper te maken waarin ik de soorten aanvallen besprak die ESET zag die specifiek gericht waren op RDP, en enkele basisstappen om ertegen te beveiligen . Dat papier is te vinden hier op de bedrijfsblog van ESET, mocht je nieuwsgierig zijn.

Rond dezelfde tijd dat deze verandering plaatsvond, introduceerde ESET onze wereldwijde dreigingsrapporten, en een van de dingen die we opmerkten, was dat RDP-aanvallen bleven groeien. Volgens onze dreigingsrapport voor de eerste vier maanden van 2022, meer dan 100 miljard dergelijke aanvallen werden geprobeerd, waarvan meer dan de helft terug te voeren was op Russische IP-adresblokken.

Het was duidelijk dat het nodig was om opnieuw te kijken naar de RDP-exploits die de afgelopen jaren zijn ontwikkeld en de aanvallen die ze mogelijk hebben gemaakt, om te rapporteren wat ESET zag via zijn bedreigingsinformatie en telemetrie. Dus dat hebben we gedaan: een nieuwe versie van onze paper uit 2020, nu getiteld Remote Desktop Protocol: externe toegang configureren voor een veilig personeelsbestand, is gepubliceerd om die informatie te delen.

Wat is er aan de hand met RDP?

In het eerste deel van dit herziene artikel bekijken we hoe aanvallen zich de afgelopen jaren hebben ontwikkeld. Een ding dat ik wil delen, is dat niet elke aanval is toegenomen. Voor één type kwetsbaarheid zag ESET een duidelijke afname in exploitatiepogingen:

• Detecties van de BlueKeep (CVE-2019-0708) wormable exploit in Remote Desktop Services is met 44% gedaald ten opzichte van hun piek in 2020. We schrijven deze daling toe aan een combinatie van patching-praktijken voor getroffen versies van Windows plus exploitbescherming aan de netwerkperimeter.

Een van de vaak gehoorde klachten over computerbeveiligingsbedrijven is dat ze te veel tijd besteden aan praten over hoe de beveiliging altijd slechter wordt en niet verbetert, en dat goed nieuws zeldzaam en van voorbijgaande aard is. Een deel van die kritiek is terecht, maar veiligheid is altijd een continu proces: er komen altijd nieuwe dreigingen bij. In dit geval lijkt het goed nieuws dat pogingen om een ​​kwetsbaarheid als BlueKeep te misbruiken na verloop van tijd afnemen. RDP blijft veel gebruikt en dit betekent dat aanvallers onderzoek blijven doen naar kwetsbaarheden die ze kunnen misbruiken.

Om een ​​klasse van exploits te laten verdwijnen, moet alles wat voor hen kwetsbaar is niet meer worden gebruikt. De laatste keer dat ik me herinner dat ik zo'n wijdverbreide verandering zag, was toen Microsoft Windows 7 in 2009 uitbracht. Windows 7 werd geleverd met ondersteuning voor AutoRun (AUTORUN.INF) uitgeschakeld. Microsoft heeft deze wijziging vervolgens teruggevoerd naar alle eerdere versies van Windows, hoewel niet perfect de eerste keer. Een functie sinds Windows 95 werd uitgebracht in 1995, AutoRun werd zwaar misbruikt om wormen te verspreiden zoals: Conficker. Op een gegeven moment waren op AUTORUN.INF gebaseerde wormen verantwoordelijk voor bijna een kwart van de bedreigingen die de software van ESET tegenkwam. Vandaag de dag zijn ze goed voor minder dan a tiende van een procent van detecties.

In tegenstelling tot AutoPlay blijft RDP een regelmatig gebruikte functie van Windows en alleen omdat er een afname is in het gebruik van een enkele exploit ertegen, betekent niet dat aanvallen ertegen als geheel afnemen. In feite zijn aanvallen op de kwetsbaarheden ervan enorm toegenomen, wat een andere mogelijkheid voor de afname van BlueKeep-detecties oproept: andere RDP-exploits kunnen zo veel effectiever zijn dat aanvallers erop zijn overgestapt.

Als we kijken naar de gegevens van twee jaar van begin 2020 tot eind 2021, lijken we het met deze beoordeling eens te zijn. Tijdens die periode laat ESET-telemetrie een enorme toename zien van kwaadaardige RDP-verbindingspogingen. Hoe groot was de sprong eigenlijk? In het eerste kwartaal van 2020 zagen we 1.97 miljard verbindingspogingen. Tegen het vierde kwartaal van 2021 was dat gestegen tot 166.37 miljard verbindingspogingen, een stijging van meer dan 8,400%!

Het is duidelijk dat aanvallers waarde vinden in het verbinden met de computers van organisaties, of het nu gaat om het uitvoeren van spionage, het planten van ransomware of een andere criminele daad. Maar het is ook mogelijk om je tegen deze aanvallen te verdedigen.

Het tweede deel van het herziene document biedt bijgewerkte richtlijnen voor de verdediging tegen aanvallen op RDP. Hoewel dit advies meer gericht is op IT-professionals die misschien niet gewend zijn aan het versterken van hun netwerk, bevat het informatie die zelfs nuttig kan zijn voor meer ervaren medewerkers.

Nieuwe gegevens over MKB-aanvallen

Met de set gegevens over RDP-aanvallen kwam er een onverwachte toevoeging van telemetrie van pogingen tot Server Message Block (SMB)-aanvallen. Gezien deze toegevoegde bonus, kon ik het niet laten om naar de gegevens te kijken en vond ik dat het compleet en interessant genoeg was om een ​​nieuwe sectie over MKB-aanvallen en de verdediging ertegen aan de krant toe te voegen.

SMB kan worden gezien als een aanvullend protocol voor RDP, in die zin dat bestanden, printers en andere netwerkbronnen op afstand toegankelijk zijn tijdens een RDP-sessie. In 2017 werd de EternalBlue (CVE-2017-0144) wormbare exploit. Het gebruik van de exploit bleef groeien 2018, 2019, en in 2020, volgens ESET-telemetrie.

De kwetsbaarheid die door EternalBlue wordt uitgebuit, is alleen aanwezig in SMBv1, een versie van het protocol die dateert uit de jaren negentig. SMBv1990 werd echter al tientallen jaren op grote schaal geïmplementeerd in besturingssystemen en netwerkapparaten en het duurde tot 1 voordat Microsoft begon met het verzenden van versies van Windows met SMBv2017 standaard uitgeschakeld.

Eind 2020 en tot 2021 zag ESET een duidelijke afname in pogingen om de EternalBlue-kwetsbaarheid te misbruiken. Net als bij BlueKeep schrijft ESET deze vermindering van detecties toe aan patchpraktijken, verbeterde beveiligingen aan de netwerkperimeter en verminderd gebruik van SMBv1.

Laatste gedachten

Het is belangrijk op te merken dat deze informatie die in dit herziene artikel wordt gepresenteerd, is verzameld uit de telemetrie van ESET. Elke keer dat men werkt met telemetriegegevens van bedreigingen, zijn er bepaalde voorwaarden die moeten worden toegepast bij het interpreteren ervan:

1. Het delen van bedreigingstelemetrie met ESET is optioneel; als een klant geen verbinding maakt met het LiveGrid®-systeem van ESET of geanonimiseerde statistische gegevens deelt met ESET, hebben we geen gegevens over wat hun installatie van de ESET-software is tegengekomen.
2. De detectie van kwaadwillende RDP- en SMB-activiteit gebeurt via verschillende beveiligingslagen van ESET technologieën, waaronder Botnet-bescherming, Bescherming tegen brute force-aanvallen, Bescherming tegen netwerkaanvallen, enzovoorts. Niet alle ESET-programma's hebben deze beschermingslagen. ESET NOD32 Antivirus biedt bijvoorbeeld een basisniveau van bescherming tegen malware voor thuisgebruikers en heeft deze beschermende lagen niet. Ze zijn aanwezig in ESET Internet Security en ESET Smart Security Premium, evenals in ESET's eindpuntbeveiligingsprogramma's voor zakelijke gebruikers.
3. Hoewel het niet is gebruikt bij de voorbereiding van dit document, bieden ESET-dreigingsrapporten geografische gegevens tot op regio- of landniveau. GeoIP-detectie is een combinatie van wetenschap en kunst, en factoren zoals het gebruik van VPN's en de snel veranderende eigendom van IPv4-blokken kunnen een impact hebben op de locatienauwkeurigheid.
4. Evenzo is ESET een van de vele verdedigers in deze ruimte. Telemetrie vertelt ons welke installaties van ESET-software verhinderen, maar ESET heeft geen inzicht in wat klanten van andere beveiligingsproducten tegenkomen.

Vanwege deze factoren zal het absolute aantal aanvallen hoger zijn dan wat we kunnen leren van de telemetrie van ESET. Dat gezegd hebbende, zijn we van mening dat onze telemetrie een nauwkeurige weergave is van de algehele situatie; de algehele toename en afname van detecties van verschillende aanvallen, procentueel gezien, evenals de aanvalstrends die door ESET worden opgemerkt, zullen waarschijnlijk vergelijkbaar zijn in de beveiligingsindustrie.

Speciale dank aan mijn collega's Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná en Peter Stančík voor hun hulp bij de herziening van dit document.

Aryeh Goretsky, ZCSE, rMVP
Vooraanstaand onderzoeker, ESET