RDP на радаре: подробный обзор развивающихся угроз удаленного доступа

Когда пандемия COVID-19 распространилась по всему миру, многие из нас, в том числе и я, стали работать полный рабочий день из дома. Многие сотрудники ESET уже привыкли часть времени работать удаленно, и в основном это было связано с расширением существующих ресурсов для обработки притока новых удаленных сотрудников, таких как покупка еще нескольких ноутбуков и лицензий VPN.

Однако этого нельзя сказать о многих организациях по всему миру, которым приходилось либо настраивать доступ для своих удаленных сотрудников с нуля, либо, по крайней мере, значительно расширять свои серверы протокола удаленного рабочего стола (RDP), чтобы сделать удаленный доступ доступным для многих. одновременных пользователей.

Чтобы помочь этим ИТ-отделам, особенно тем, для которых удаленная рабочая сила была чем-то новым, я работал с нашим отделом контента над созданием документа, в котором обсуждаются типы атак, которые были обнаружены ESET и которые были нацелены конкретно на RDP, и некоторые основные шаги по защите от них. . Эту бумагу можно найти здесь, в корпоративном блоге ESET, если вам интересно.

Примерно в то же время, когда произошло это изменение, ESET повторно представила нашу глобальную отчеты об угрозах, и одна из вещей, которую мы отметили, это то, что RDP-атаки продолжали расти. Согласно нашему отчет об угрозах за первые четыре месяца 2022 годаболее 100 XNUMX миллиард такие атаки были предприняты, более половины из которых были отслежены до блоков российских IP-адресов.

Очевидно, что необходимо еще раз взглянуть на эксплойты RDP, которые были разработаны, и атаки, которые они сделали возможными, за последние пару лет, чтобы сообщить, что ESET видит с помощью своей аналитики угроз и телеметрии. Итак, мы сделали именно это: новая версия нашей статьи 2020 года, которая теперь называется Протокол удаленного рабочего стола: настройка удаленного доступа для обеспечения безопасности сотрудников, был опубликован, чтобы поделиться этой информацией.

Что происходит с RDP?

В первой части этой пересмотренной статьи мы рассмотрим, как развивались атаки за последние пару лет. Одной вещью, которой я хотел бы поделиться, является то, что не каждая атака была на подъеме. Для одного типа уязвимости ESET заметила заметное снижение попыток эксплуатации:

• Обнаружения BlueKeep (CVE-2019-0708) количество эксплойтов-червей в службах удаленных рабочих столов сократилось на 44 % по сравнению с пиковым значением в 2020 году. Мы связываем это снижение с комбинацией методов исправления уязвимых версий Windows и защитой от эксплойтов на периметре сети.

Одна из частых жалоб на компании, занимающиеся компьютерной безопасностью, заключается в том, что они тратят слишком много времени на разговоры о том, что безопасность всегда ухудшается, а не улучшается, и что хорошие новости бывают нечастыми и мимолетными. Часть этой критики справедлива, но безопасность — это всегда непрерывный процесс: постоянно возникают новые угрозы. В этом случае то, что попытки использовать уязвимость, такую ​​как BlueKeep, со временем уменьшаются, кажется хорошей новостью. RDP по-прежнему широко используется, а это означает, что злоумышленники будут продолжать проводить исследования уязвимостей, которые они могут использовать.

Чтобы класс эксплойтов исчез, все, что уязвимо для них, должно перестать использоваться. В последний раз, когда я видел столь масштабное изменение, Microsoft выпустила Windows 7 в 2009 году. В Windows 7 была отключена поддержка автозапуска (AUTORUN.INF). Затем Microsoft перенесла это изменение во все предыдущие версии Windows, хотя и не полностью. Впервые. Функция AutoRun, появившаяся с момента выпуска Windows 95 в 1995 году, активно использовалась для распространения таких червей, как Conficker. В какой-то момент черви на основе AUTORUN.INF составляли почти четверть угроз, с которыми сталкивалось программное обеспечение ESET. Сегодня они составляют менее десятая доля процента обнаружений.

В отличие от AutoPlay, RDP остается регулярно используемой функцией Windows, и только потому, что использование одного эксплойта против него сокращается, это не означает, что количество атак против него в целом уменьшается. На самом деле атаки на его уязвимости значительно участились, что дает еще одну возможность для снижения количества обнаружений BlueKeep: другие эксплойты RDP могут быть настолько более эффективными, что злоумышленники переключились на них.

Если посмотреть на данные за два года с начала 2020 до конца 2021 года, можно согласиться с этой оценкой. В течение этого периода телеметрия ESET показывает значительное увеличение злонамеренных попыток подключения RDP. Насколько большим был прыжок? В первом квартале 2020 года мы зафиксировали 1.97 миллиарда попыток подключения. К четвертому кварталу 2021 года это количество подскочило до 166.37 миллиарда попыток подключения, увеличившись более чем на 8,400%!

Ясно, что злоумышленники находят ценность в подключении к компьютерам организаций, будь то для ведения шпионажа, внедрения программ-вымогателей или других преступных действий. Но и от этих атак можно защититься.

Во второй части пересмотренного документа представлены обновленные рекомендации по защите от атак на RDP. Хотя этот совет в большей степени предназначен для тех ИТ-специалистов, которые, возможно, не привыкли к усилению защиты своей сети, он содержит информацию, которая может оказаться полезной даже для более опытных сотрудников.

Новые данные по SMB-атакам

Вместе с набором данных об атаках RDP неожиданно добавились данные телеметрии о попытках атак с использованием блока сообщений сервера (SMB). Учитывая этот дополнительный бонус, я не мог не взглянуть на данные и счел их достаточно полными и интересными, чтобы в статью можно было добавить новый раздел об атаках SMB и средствах защиты от них.

SMB можно рассматривать как сопутствующий протокол RDP, поскольку он позволяет удаленно получать доступ к файлам, принтерам и другим сетевым ресурсам во время сеанса RDP. В 2017 году был выпущен публичный релиз EternalBlue (CVE-2017-0144) червячный эксплойт. Использование эксплойта продолжало расти за счет 2018, 2019и в 2020, согласно телеметрии ESET.

Уязвимость, используемая EternalBlue, присутствует только в SMBv1, версии протокола, выпущенной в 1990-х годах. Однако SMBv1 широко внедрялся в операционные системы и сетевые устройства на протяжении десятилетий, и только в 2017 году Microsoft начала поставлять версии Windows с отключенным по умолчанию SMBv1.

В конце 2020 г. и в течение 2021 г. в ESET заметно сократилось количество попыток использования уязвимости EternalBlue. Как и в случае с BlueKeep, ESET связывает это снижение количества обнаружений с практиками установки исправлений, улучшенной защитой по периметру сети и сокращением использования SMBv1.

Заключение

Важно отметить, что эта информация, представленная в этом исправленном документе, была получена из телеметрии ESET. Каждый раз, когда вы работаете с данными телеметрии об угрозах, для их интерпретации необходимо соблюдать определенные условия:

1. Делиться телеметрией угроз с ESET необязательно; если клиент не подключается к системе ESET LiveGrid® или не передает ESET анонимные статистические данные, у нас не будет никаких данных о том, с чем он столкнулся при установке программного обеспечения ESET.
2. Обнаружение вредоносной активности RDP и SMB осуществляется с помощью нескольких уровней защиты ESET. технологиив том числе Защита ботнетов, Защита от грубой силы, Защита от сетевых атак, и так далее. Не все программы ESET имеют эти уровни защиты. Например, ESET NOD32 Antivirus обеспечивает базовый уровень защиты от вредоносных программ для домашних пользователей и не имеет этих защитных слоев. Они присутствуют в ESET Internet Security и ESET Smart Security Premium, а также в программах защиты конечных точек ESET для бизнес-пользователей.
3. Хотя он не использовался при подготовке этого документа, отчеты ESET об угрозах предоставляют географические данные вплоть до уровня региона или страны. Обнаружение GeoIP представляет собой смесь науки и искусства, и такие факторы, как использование VPN и быстрая смена владельцев блоков IPv4, могут влиять на точность определения местоположения.
4. Точно так же ESET является одним из многих защитников в этой области. Телеметрия сообщает нам, какие установки программного обеспечения ESET предотвращают, но ESET не имеет представления о том, с чем сталкиваются клиенты других продуктов безопасности.

Из-за этих факторов абсолютное количество атак будет выше, чем мы можем узнать из телеметрии ESET. Тем не менее, мы считаем, что наша телеметрия является точным представлением общей ситуации; общее увеличение и уменьшение количества обнаружений различных атак в процентном отношении, а также тенденции атак, отмеченные ESET, вероятно, будут одинаковыми в отрасли безопасности.

Особая благодарность моим коллегам Брюсу П. Барреллу, Якубу Филипу, Томашу Фолтыну, Рене Холту, Элоду Киронскому, Ондрею Кубовичу, Габриэль Ладусер-Деспин, Зузане Пардубской, Линде Скрукане и Петеру Станчику за помощь в редактировании этой статьи.

Арье Горецкий, ZCSE, rMVP
Заслуженный исследователь, ESET