RDP na radarju: pogled od blizu na razvijajoče se grožnje oddaljenega dostopa

Ko se je pandemija COVID-19 razširila po vsem svetu, smo se mnogi od nas, vključno z mano, odločili za polni delovni čas od doma. Številni ESET-ovi zaposleni so bili že navajeni del časa delati na daljavo in v veliki meri je šlo za povečanje obstoječih virov za obvladovanje pritoka novih oddaljenih delavcev, kot je nakup nekaj dodatnih prenosnikov in licenc VPN.

Enako pa ne bi mogli trditi za številne organizacije po vsem svetu, ki so morale vzpostaviti dostop za svojo oddaljeno delovno silo od začetka ali pa vsaj znatno razširiti svoje strežnike protokola za oddaljeno namizje (RDP), da bi lahko oddaljeni dostop uporabljali številni sočasnih uporabnikov.

Da bi pomagal tistim oddelkom za IT, zlasti tistim, za katere je bila delovna sila na daljavo nekaj novega, sem sodeloval z našim oddelkom za vsebine, da bi ustvaril dokument, v katerem razpravljam o vrstah napadov, ki jih je opazil ESET in so ciljali posebej na RDP, ter o nekaterih osnovnih korakih za zaščito pred njimi . Ta papir je mogoče najti tukaj na ESET-ovem poslovnem blogu, če ste radovedni.

Približno v istem času, ko se je zgodila ta sprememba, je ESET ponovno uvedel naš global poročila o grožnjahin ena od stvari, ki smo jih opazili, je, da napadi RDP še naprej naraščajo. Po našem poročilo o grožnjah za prve štiri mesece leta 2022, nad 100 Milijarde bili so poskusi takšnih napadov, od katerih jih je več kot polovica sledila ruskim blokom naslovov IP.

Jasno je, da je bilo treba še enkrat pogledati izkoriščanja RDP, ki so bila razvita, in napade, ki so jih omogočili, v zadnjih nekaj letih, da bi poročali o tem, kaj je ESET videl prek svojih podatkov o grožnjah in telemetrije. Tako smo naredili prav to: novo različico našega časopisa za leto 2020, zdaj z naslovom Protokol oddaljenega namizja: Konfiguriranje oddaljenega dostopa za varno delovno silo, je bil objavljen za skupno rabo teh informacij.

Kaj se je dogajalo z RDP?

V prvem delu tega revidiranega dokumenta pogledamo, kako so se napadi razvijali v zadnjih nekaj letih. Ena stvar, ki bi jo rad povedal, je, da ni vsak napad v porastu. Pri eni vrsti ranljivosti je ESET opazil izrazito zmanjšanje poskusov izkoriščanja:

• Zaznave BlueKeepa (CVE-2019-0708) črvivo izkoriščanje v storitvah oddaljenega namizja se je zmanjšalo za 44 % glede na vrhunec leta 2020. To zmanjšanje pripisujemo kombinaciji praks popravkov za prizadete različice sistema Windows in zaščite pred izkoriščanjem na omrežnem obodu.

Ena od pogosto slišanih pritožb o podjetjih za računalniško varnost je, da porabijo preveč časa za pogovore o tem, kako se varnost vedno slabša in ne izboljšuje ter da so vse dobre novice redke in prehodne. Nekatere od teh kritik so utemeljene, vendar je varnost vedno stalen proces: vedno se pojavljajo nove grožnje. V tem primeru se zdi, da se poskusi izkoriščanja ranljivosti, kot je BlueKeep, sčasoma zmanjšujejo, dobra novica. RDP se še vedno pogosto uporablja, kar pomeni, da bodo napadalci nadaljevali z raziskovanjem ranljivosti, ki jih lahko izkoristijo.

Da razred podvigov izgine, je treba prenehati uporabljati vse, kar je zanje ranljivo. Nazadnje se spomnim, da sem videl tako razširjeno spremembo, ko je Microsoft izdal Windows 7 leta 2009. Windows 7 je prišel z onemogočeno podporo za AutoRun (AUTORUN.INF). Microsoft je nato prenesel to spremembo v vse prejšnje različice sistema Windows, čeprav ne popolnoma prvič. Funkcija samodejnega zagona od izida sistema Windows 95 leta 1995 je bila močno zlorabljena za širjenje črvov, kot je Conficker. V nekem trenutku so črvi, ki temeljijo na AUTORUN.INF, predstavljali skoraj četrtino groženj, na katere je naletela programska oprema ESET. Danes predstavljajo pod a desetinka odstotka zaznav.

Za razliko od samodejnega predvajanja RDP ostaja redno uporabljena funkcija sistema Windows in samo zato, ker se zmanjša uporaba enega samega izkoriščanja proti njemu, ne pomeni, da se napadi nanj kot celoto zmanjšujejo. Pravzaprav so se napadi na njegove ranljivosti močno povečali, kar prinaša še eno možnost za zmanjšanje zaznav BlueKeep: druga izkoriščanja RDP so lahko toliko bolj učinkovita, da so napadalci prešli nanje.

Če pogledamo podatke za dve leti od začetka leta 2020 do konca leta 2021, se zdi, da se strinjamo s to oceno. V tem obdobju telemetrija ESET kaže močno povečanje zlonamernih poskusov povezave RDP. Kako velik je bil skok? V prvem četrtletju leta 2020 smo videli 1.97 milijarde poskusov povezave. Do četrtega četrtletja leta 2021 je to poskočilo na 166.37 milijarde poskusov povezave, kar je več kot 8,400-odstotno povečanje!

Jasno je, da napadalci najdejo vrednost v povezovanju z računalniki organizacij, bodisi za izvajanje vohunjenja, nameščanje izsiljevalske programske opreme ali kakšno drugo kaznivo dejanje. Toda pred temi napadi se je mogoče tudi ubraniti.

Drugi del revidiranega dokumenta vsebuje posodobljene smernice o obrambi pred napadi na RDP. Medtem ko je ta nasvet bolj namenjen tistim strokovnjakom za IT, ki morda niso vajeni utrjevanja svojega omrežja, vsebuje informacije, ki so lahko celo koristne bolj izkušenemu osebju.

Novi podatki o napadih SMB

Z naborom podatkov o napadih RDP je prišel nepričakovan dodatek telemetrije iz poskusov napadov SMB (Server Message Block). Glede na to dodatno prednost si nisem mogel pomagati, da ne bi pogledal podatkov in menil, da so popolni in dovolj zanimivi, da bi lahko v dokument dodali nov razdelek o napadih SMB in obrambi pred njimi.

SMB si lahko predstavljamo kot spremljevalni protokol RDP, saj omogoča oddaljen dostop do datotek, tiskalnikov in drugih omrežnih virov med sejo RDP. Leta 2017 je bila javna izdaja EternalBlue (CVE-2017-0144) črvivo izkoriščanje. Uporaba izkoriščanja je še naprej rasla 2018, 2019, in v 2020, glede na telemetrijo ESET.

Ranljivost, ki jo izkorišča EternalBlue, je prisotna samo v SMBv1, različici protokola iz devetdesetih let prejšnjega stoletja. Vendar je bil SMBv1990 desetletja široko implementiran v operacijskih sistemih in omrežnih napravah in šele leta 1 je Microsoft začel pošiljati različice sistema Windows s privzeto onemogočenim SMBv2017.

Konec leta 2020 in do leta 2021 je ESET opazil izrazito zmanjšanje poskusov izkoriščanja ranljivosti EternalBlue. Kot pri BlueKeep, ESET to zmanjšanje zaznav pripisuje praksam popravkov, izboljšani zaščiti na omrežnem obodu in zmanjšani uporabi SMBv1.

Končne misli

Pomembno je omeniti, da so bile te informacije, predstavljene v tem revidiranem dokumentu, zbrane iz telemetrije družbe ESET. Vsakič, ko delate s telemetričnimi podatki o grožnjah, je treba pri njihovi razlagi upoštevati določene pogoje:

1. Deljenje telemetrije groženj z ESET-om ni obvezno; če se stranka ne poveže z ESET-ovim sistemom LiveGrid® ali ne deli anonimiziranih statističnih podatkov z ESET-om, ne bomo imeli podatkov o tem, na kaj je naletela njihova namestitev programske opreme ESET.
2. Zaznavanje zlonamerne dejavnosti RDP in SMB poteka prek več plasti zaščite ESET tehnologije, Vključno z Botnetna zaščita, Zaščita pred napadi s surovo silo, Zaščita pred omrežnimi napadi, in tako naprej. Te plasti zaščite nimajo vsi programi ESET. ESET NOD32 Antivirus na primer zagotavlja osnovno raven zaščite pred zlonamerno programsko opremo za domače uporabnike in nima teh zaščitnih plasti. Prisotni so v programih ESET Internet Security in ESET Smart Security Premium ter v ESET-ovih programih za zaščito končnih točk za poslovne uporabnike.
3. Čeprav niso bila uporabljena pri pripravi tega dokumenta, poročila ESET o grožnjah zagotavljajo geografske podatke do ravni regije ali države. Zaznavanje GeoIP je mešanica znanosti in umetnosti in dejavniki, kot sta uporaba VPN-jev in hitro spreminjajoče se lastništvo blokov IPv4, lahko vplivajo na natančnost lokacije.
4. Prav tako je ESET eden od mnogih branilcev v tem prostoru. Telemetrija nam pove, katere namestitve ESET-ove programske opreme preprečujejo, vendar ESET nima vpogleda v to, s čim se srečujejo kupci drugih varnostnih izdelkov.

Zaradi teh dejavnikov bo absolutno število napadov višje od tistega, kar lahko izvemo iz telemetrije podjetja ESET. Kljub temu verjamemo, da je naša telemetrija natančna predstavitev celotne situacije; splošno povečanje in zmanjšanje zaznav različnih napadov, v odstotkih, kot tudi trendi napadov, ki jih je zabeležil ESET, bodo verjetno podobni v celotni varnostni industriji.

Posebna zahvala mojim kolegom Bruceu P. Burrellu, Jakubu Filipu, Tomášu Foltýnu, Reneju Holtu, Elődu Kironskýju, Ondreju Kuboviču, Gabrielle Ladouceur-Despins, Zuzani Pardubská, Lindi Skrúcaná in Petru Stančíku za njihovo pomoč pri reviziji tega dokumenta.

Aryeh Goretsky, ZCSE, rMVP
Ugledni raziskovalec, ESET