RDP pe radar: O vedere de aproape a amenințărilor evolutive de acces la distanță

Pe măsură ce pandemia de COVID-19 s-a răspândit pe tot globul, mulți dintre noi, inclusiv eu, am apelat la munca cu normă întreagă de acasă. Mulți dintre angajații ESET erau deja obișnuiți să lucreze de la distanță o parte din timp și era în mare parte o chestiune de extindere a resurselor existente pentru a face față afluxului de noi lucrători la distanță, cum ar fi achiziționarea de mai multe laptopuri și licențe VPN.

Același lucru, totuși, nu s-ar putea spune pentru multe organizații din întreaga lume, care fie trebuiau să configureze accesul pentru forța de muncă la distanță de la zero, fie cel puțin să-și extindă semnificativ serverele Remote Desktop Protocol (RDP) pentru a face accesul la distanță utilizabil pentru mulți. utilizatori concurenți.

Pentru a ajuta acele departamente IT, în special pe cele pentru care o forță de muncă de la distanță era ceva nou, am lucrat cu departamentul nostru de conținut pentru a crea o lucrare care discută tipurile de atacuri pe care le vedea ESET și care vizează în mod special RDP și câțiva pași de bază pentru a se proteja împotriva lor. . Acea hârtie poate fi găsită aici pe blogul corporativ al ESET, in caz ca esti curios.

Cam în aceeași perioadă în care avea loc această schimbare, ESET a reintrodus global rapoarte de amenințări, iar unul dintre lucrurile pe care le-am observat a fost că atacurile RDP au continuat să crească. Potrivit noastre raportul amenințărilor pentru primele patru luni ale anului 2022, peste 100 miliard au fost încercate astfel de atacuri, dintre care peste jumătate au fost urmărite până la blocuri de adrese IP din Rusia.

În mod clar, a fost nevoie să aruncăm o altă privire asupra exploit-urilor RDP care au fost dezvoltate și asupra atacurilor pe care le-au făcut posibile, în ultimii doi ani, pentru a raporta ceea ce vedea ESET prin intermediul informațiilor și telemetriei sale privind amenințările. Deci, am făcut exact asta: o nouă versiune a lucrării noastre din 2020, acum intitulată Remote Desktop Protocol: Configurarea accesului de la distanță pentru o forță de muncă sigură, a fost publicat pentru a partaja aceste informații.

Ce s-a întâmplat cu RDP?

În prima parte a acestei lucrări revizuite, ne uităm la modul în care au evoluat atacurile în ultimii doi ani. Un lucru pe care aș dori să-l împărtășesc este că nu toate atacurile au crescut. Pentru un tip de vulnerabilitate, ESET a înregistrat o scădere semnificativă a încercărilor de exploatare:

• Detectări ale BlueKeep (CVE-2019-0708) exploatațiile wormable din Serviciile Desktop la distanță au scăzut cu 44% față de vârful lor din 2020. Atribuim această scădere unei combinații de practici de corecție pentru versiunile Windows afectate, plus protecția împotriva exploatării la perimetrul rețelei.

Una dintre plângerile des auzite despre companiile de securitate informatică este că acestea petrec prea mult timp vorbind despre cum securitatea se înrăutățește mereu și nu se îmbunătățește și că orice veste bună este rare și tranzitorie. Unele dintre aceste critici sunt valabile, dar securitatea este întotdeauna un proces continuu: apar mereu noi amenințări. În acest caz, observarea încercărilor de a exploata o vulnerabilitate precum BlueKeep scăderea în timp pare o veste bună. RDP rămâne utilizat pe scară largă și asta înseamnă că atacatorii vor continua să efectueze cercetări asupra vulnerabilităților pe care le pot exploata.

Pentru ca o clasă de exploituri să dispară, orice este vulnerabil la ele trebuie să înceteze să fie folosit. Ultima dată când îmi amintesc că am văzut o schimbare atât de răspândită a fost când Microsoft a lansat Windows 7 în 2009. Windows 7 a venit cu suportul pentru AutoRun (AUTORUN.INF) dezactivat. Microsoft a retroportat apoi această modificare la toate versiunile anterioare de Windows, deși nu perfect Prima dată. O caracteristică de când Windows 95 a fost lansat în 1995, AutoRun a fost puternic abuzat pentru a propaga viermi precum Conficker. La un moment dat, viermii bazați pe AUTORUN.INF au reprezentat aproape un sfert din amenințările întâlnite de software-ul ESET. Astăzi, ele reprezintă sub a zecime de procent de detectii.

Spre deosebire de AutoPlay, RDP rămâne o caracteristică utilizată în mod regulat de Windows și doar pentru că există o scădere a utilizării unui singur exploit împotriva sa, asta nu înseamnă că atacurile împotriva acestuia în ansamblu sunt în scădere. De fapt, atacurile împotriva vulnerabilităților sale au crescut masiv, ceea ce aduce o altă posibilitate de scădere a detecțiilor BlueKeep: alte exploit-uri RDP ar putea fi mult mai eficiente, încât atacatorii au trecut la ele.

Analizând datele în valoare de doi ani de la începutul anului 2020 până la sfârșitul anului 2021, ar părea să fie de acord cu această evaluare. În această perioadă, telemetria ESET arată o creștere masivă a încercărilor de conexiune RDP rău intenționată. Cât de mare a fost saltul? În primul trimestru al anului 2020, am înregistrat 1.97 miliarde de încercări de conectare. Până în al patrulea trimestru din 2021, aceasta a crescut la 166.37 miliarde de încercări de conectare, o creștere de peste 8,400%!

În mod clar, atacatorii găsesc valoare în conectarea la computerele organizațiilor, fie pentru a desfășura spionaj, a planta ransomware sau pentru orice alt act criminal. Dar este posibil să ne apărăm împotriva acestor atacuri.

A doua parte a documentului revizuit oferă îndrumări actualizate privind apărarea împotriva atacurilor asupra RDP. Deși acest sfat se adresează mai mult acelor profesioniști IT care nu sunt obișnuiți să-și întărească rețeaua, el conține informații care pot fi chiar utile pentru personalul mai experimentat.

Date noi despre atacurile IMM-urilor

Odată cu setul de date privind atacurile RDP, a venit o adăugare neașteptată de telemetrie din tentativele de atacuri Server Message Block (SMB). Având în vedere acest bonus suplimentar, nu m-am putut abține să nu uit datele și am simțit că este suficient de complet și interesant încât să poată fi adăugată în lucrare o nouă secțiune despre atacurile IMM-urilor și apărarea împotriva lor.

SMB poate fi considerat ca un protocol însoțitor pentru RDP, prin aceea că permite accesarea de la distanță a fișierelor, imprimantelor și altor resurse de rețea în timpul unei sesiuni RDP. În 2017 a fost lansat public EternalBlue (CVE-2017-0144) exploatare wormable. Utilizarea exploit-ului a continuat să crească 2018, 2019, și în 2020, conform telemetriei ESET.

Vulnerabilitatea exploatată de EternalBlue este prezentă doar în SMBv1, o versiune a protocolului care datează din anii 1990. Cu toate acestea, SMBv1 a fost implementat pe scară largă în sistemele de operare și dispozitivele în rețea timp de decenii și abia în 2017 Microsoft a început să livreze versiuni de Windows cu SMBv1 dezactivat în mod implicit.

La sfârșitul anului 2020 și până în 2021, ESET a înregistrat o scădere marcată a încercărilor de a exploata vulnerabilitatea EternalBlue. Ca și în cazul BlueKeep, ESET atribuie această reducere a detecțiilor practicilor de corecție, protecției îmbunătățite la perimetrul rețelei și scăderii utilizării SMBv1.

Gânduri finale

Este important de reținut că aceste informații prezentate în această lucrare revizuită au fost culese din telemetria ESET. De fiecare dată când se lucrează cu date de telemetrie a amenințărilor, există anumite condiții care trebuie aplicate pentru interpretarea acestora:

1. Partajarea telemetriei amenințărilor cu ESET este opțională; dacă un client nu se conectează la sistemul LiveGrid® al ESET sau nu partajează date statistice anonime cu ESET, atunci nu vom avea date despre ceea ce a întâlnit instalarea software-ului ESET.
2. Detectarea activității rău intenționate RDP și SMB se face prin mai multe straturi de protecție ESET. tehnologii, inclusiv Protecție botnet, Protecție împotriva atacurilor de forță brută, Protecție împotriva atacurilor de rețea, si asa mai departe. Nu toate programele ESET au aceste straturi de protecție. De exemplu, ESET NOD32 Antivirus oferă un nivel de bază de protecție împotriva programelor malware pentru utilizatorii casnici și nu are aceste straturi de protecție. Acestea sunt prezente în ESET Internet Security și ESET Smart Security Premium, precum și în programele ESET de protecție a punctelor terminale pentru utilizatorii de afaceri.
3. Deși nu a fost utilizat la pregătirea acestei lucrări, rapoartele de amenințări ESET oferă date geografice până la nivel de regiune sau țară. Detectarea GeoIP este un amestec de știință și artă, iar factori precum utilizarea VPN-urilor și schimbarea rapidă a proprietății blocurilor IPv4 pot avea un impact asupra acurateței locației.
4. La fel, ESET este unul dintre numeroșii apărători din acest spațiu. Telemetria ne spune ce instalări ale software-ului ESET împiedică, dar ESET nu are nicio perspectivă asupra cu ce se confruntă clienții altor produse de securitate.

Din cauza acestor factori, numărul absolut de atacuri va fi mai mare decât ceea ce putem învăța din telemetria ESET. Acestea fiind spuse, credem că telemetria noastră este o reprezentare exactă a situației generale; creșterea și scăderea generală a detecțiilor diferitelor atacuri, din punct de vedere procentual, precum și tendințele de atac observate de ESET, sunt probabil să fie similare în industria de securitate.

Mulțumiri speciale colegilor mei Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná și Peter Stančík pentru asistența acordată în revizuirea acestei lucrări.

Aryeh Goretsky, ZCSE, rMVP
Cercetător distins, ESET