RDP på ​​radaren: Et nærbilde av utviklende fjerntilgangstrusler

Ettersom COVID-19-pandemien spredte seg over hele verden, vendte mange av oss, inkludert meg selv, til å jobbe heltid hjemmefra. Mange av ESETs ansatte var allerede vant til å jobbe eksternt deler av tiden, og det handlet i stor grad om å skalere opp eksisterende ressurser for å håndtere tilstrømningen av nye eksterne arbeidere, for eksempel å kjøpe noen flere bærbare datamaskiner og VPN-lisenser.

Det samme kunne imidlertid ikke sies for mange organisasjoner rundt om i verden, som enten måtte sette opp tilgang for sin eksterne arbeidsstyrke fra bunnen av eller i det minste betydelig oppskalere sine Remote Desktop Protocol (RDP)-servere for å gjøre ekstern tilgang brukbar for mange samtidige brukere.

For å hjelpe disse IT-avdelingene, spesielt de som en ekstern arbeidsstyrke var noe nytt for, jobbet jeg med innholdsavdelingen vår for å lage et papir som diskuterte typene angrep ESET så som spesifikt var rettet mot RDP, og noen grunnleggende trinn for å sikre mot dem . Det papiret kan bli funnet her på ESETs bedriftsblogg, i tilfelle du er nysgjerrig.

Omtrent samtidig som denne endringen skjedde, gjenintroduserte ESET vår globale trusselmeldinger, og en av tingene vi la merke til var at RDP-angrep fortsatte å vokse. I følge vår trusselrapport for de første fire månedene av 2022, over 100 XNUMX milliarder slike angrep ble forsøkt, hvorav over halvparten ble sporet tilbake til russiske IP-adresseblokkeringer.

Det var tydelig at det var behov for å ta en ny titt på RDP-utnyttelsene som ble utviklet, og angrepene de gjorde mulig, i løpet av de siste par årene for å rapportere hva ESET så gjennom sin trusselintelligens og telemetri. Så vi har gjort nettopp det: en ny versjon av 2020-avisen vår, nå kalt Remote Desktop Protocol: Konfigurere ekstern tilgang for en sikker arbeidsstyrke, har blitt publisert for å dele denne informasjonen.

Hva har skjedd med RDP?

I den første delen av denne reviderte artikkelen ser vi på hvordan angrep har utviklet seg de siste par årene. En ting jeg vil dele er at ikke alle angrep har vært økende. For én type sårbarhet så ESET en markant nedgang i utnyttelsesforsøk:

• Deteksjoner av BlueKeep (CVE-2019-0708) ormbar utnyttelse i Remote Desktop Services har gått ned 44 % fra toppen i 2020. Vi tilskriver denne nedgangen en kombinasjon av patching-praksis for berørte versjoner av Windows pluss utnyttelsesbeskyttelse ved nettverksperimeteren.

En av de ofte hørte klagene på datasikkerhetsselskaper er at de bruker for mye tid på å snakke om hvordan sikkerheten alltid blir dårligere og ikke blir bedre, og at gode nyheter er sjeldne og forbigående. Noe av den kritikken er gyldig, men sikkerhet er alltid en pågående prosess: nye trusler dukker alltid opp. I dette tilfellet virker det som gode nyheter å se forsøk på å utnytte en sårbarhet som BlueKeep reduseres over tid. RDP er fortsatt mye brukt, og dette betyr at angripere kommer til å fortsette å forske på sårbarheter som de kan utnytte.

For at en klasse av utnyttelser skal forsvinne, må det som er sårbart for dem slutte å bli brukt. Sist gang jeg husker at jeg så en så utbredt endring var da Microsoft ga ut Windows 7 i 2009. Windows 7 kom med støtte for AutoRun (AUTORUN.INF) deaktivert. Microsoft tilbakeførte deretter denne endringen til alle tidligere versjoner av Windows, men ikke perfekt den første gangen. En funksjon siden Windows 95 ble utgitt i 1995, AutoRun ble kraftig misbrukt for å spre ormer som Conficker. På et tidspunkt sto AUTORUN.INF-baserte ormer for nesten en fjerdedel av truslene ESETs programvare møtte. I dag står de for under en tiendedel av en prosent av deteksjoner.

I motsetning til AutoPlay, forblir RDP en regelmessig brukt funksjon i Windows, og bare fordi det er en nedgang i bruken av en enkelt utnyttelse mot den, betyr det ikke at angrep mot den som helhet reduseres. Faktisk har angrep mot sårbarhetene økt massivt, noe som gir en annen mulighet for reduksjonen i BlueKeep-deteksjoner: Andre RDP-utnyttelser kan være så mye mer effektive at angripere har byttet til dem.

Å se på to års data fra begynnelsen av 2020 til slutten av 2021 ser ut til å stemme overens med denne vurderingen. I løpet av den perioden viser ESET-telemetri en massiv økning i ondsinnede RDP-tilkoblingsforsøk. Hvor stort var hoppet? I første kvartal 2020 så vi 1.97 milliarder tilkoblingsforsøk. I fjerde kvartal 2021 hadde dette økt til 166.37 milliarder tilkoblingsforsøk, en økning på over 8,400 XNUMX %!

Det er klart at angripere finner verdi i å koble til organisasjoners datamaskiner, enten for å drive spionasje, plante løsepenger eller annen kriminell handling. Men det er også mulig å forsvare seg mot disse angrepene.

Den andre delen av det reviderte papiret gir oppdatert veiledning om forsvar mot angrep på RDP. Selv om dette rådet er mer rettet mot de IT-fagfolk som kanskje ikke er vant til å herde nettverket sitt, inneholder det informasjon som til og med kan være nyttig for mer erfarne ansatte.

Nye data om SMB-angrep

Med settet med data om RDP-angrep kom et uventet tillegg av telemetri fra forsøk på Server Message Block (SMB)-angrep. Gitt denne ekstra bonusen kunne jeg ikke la være å se på dataene, og følte at de var fullstendige og interessante nok til at en ny del om SMB-angrep og forsvar mot dem kunne legges til avisen.

SMB kan betraktes som en ledsagerprotokoll til RDP, ved at den lar filer, skrivere og andre nettverksressurser få tilgang til eksternt under en RDP-økt. I 2017 ble den offentlige utgivelsen av EternalBlue (CVE-2017-0144) ormelig utnyttelse. Bruken av utnyttelsen fortsatte å vokse gjennom 2018, 2019, og inn 2020, ifølge ESET telemetri.

Sårbarheten som utnyttes av EternalBlue er kun til stede i SMBv1, en versjon av protokollen som dateres tilbake til 1990-tallet. SMBv1 ble imidlertid implementert bredt i operativsystemer og nettverksenheter i flere tiår, og det var ikke før i 2017 at Microsoft begynte å sende versjoner av Windows med SMBv1 deaktivert som standard.

På slutten av 2020 og gjennom 2021 så ESET en markant nedgang i forsøk på å utnytte EternalBlue-sårbarheten. Som med BlueKeep, tilskriver ESET denne reduksjonen i deteksjoner til patching-praksis, forbedret beskyttelse ved nettverksperimeteren og redusert bruk av SMBv1.

Avsluttende tanker

Det er viktig å merke seg at denne informasjonen presentert i dette reviderte papiret ble samlet inn fra ESETs telemetri. Hver gang man jobber med trusseltelemetridata, er det visse forbehold som må brukes for å tolke dem:

1. Deling av trusseltelemetri med ESET er valgfritt; hvis en kunde ikke kobler til ESETs LiveGrid®-system eller deler anonymiserte statistiske data med ESET, vil vi ikke ha noen data om hva installasjonen av ESETs programvare oppdaget.
2. Oppdagelsen av skadelig RDP- og SMB-aktivitet gjøres gjennom flere lag av ESETs beskyttelse teknologier, Herunder Botnettbeskyttelse, Brute Force Attack Protection, Beskyttelse mot nettverksangrep, og så videre. Ikke alle ESETs programmer har disse beskyttelseslagene. For eksempel gir ESET NOD32 Antivirus et grunnleggende beskyttelsesnivå mot skadelig programvare for hjemmebrukere og har ikke disse beskyttende lagene. De finnes i ESET Internet Security og ESET Smart Security Premium, samt i ESETs endepunktbeskyttelsesprogrammer for forretningsbrukere.
3. Selv om det ikke ble brukt i utarbeidelsen av denne artikkelen, gir ESET trusselrapporter geografiske data ned til region- eller landsnivå. GeoIP-deteksjon er en blanding av vitenskap og kunst, og faktorer som bruk av VPN-er og raskt skiftende eierskap til IPv4-blokker kan ha innvirkning på posisjonsnøyaktigheten.
4. På samme måte er ESET en av de mange forsvarerne i dette området. Telemetri forteller oss hva installasjoner av ESETs programvare hindrer, men ESET har ingen innsikt i hva kunder av andre sikkerhetsprodukter møter.

På grunn av disse faktorene vil det absolutte antallet angrep være høyere enn det vi kan lære av ESETs telemetri. Når det er sagt, tror vi at vår telemetri er en nøyaktig representasjon av den generelle situasjonen; den samlede økningen og nedgangen i deteksjoner av ulike angrep, prosentvis, samt angrepstrendene notert av ESET, vil sannsynligvis være lik i sikkerhetsindustrien.

Spesiell takk til mine kolleger Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná og Peter Stančík for deres hjelp i revisjonen av denne artikkelen.

Aryeh Goretsky, ZCSE, rMVP
Utmerket forsker, ESET