Yanlış yapılandırılmış uzaktan erişim hizmetleri, kötü niyetli kişilere şirket ağlarına kolay erişim yolu sağlamaya devam ediyor; Uzak Masaüstü Protokolünü kötüye kullanan saldırılara maruz kalma riskinizi nasıl en aza indirebileceğiniz aşağıda açıklanmıştır
COVID-19 salgını tüm dünyaya yayılırken ben de dahil çoğumuz evden tam zamanlı çalışmaya yöneldik. ESET çalışanlarının çoğu, zamanın bir kısmında uzaktan çalışmaya zaten alışmıştı ve bu, büyük ölçüde, birkaç dizüstü bilgisayar ve VPN lisansı daha satın almak gibi, yeni uzaktan çalışanların akışını karşılamak için mevcut kaynakların ölçeğini büyütme meselesiydi.
Ancak aynı şey, uzaktan erişimi birçok kişi için kullanılabilir hale getirmek amacıyla uzaktan iş gücü için erişimi sıfırdan ayarlamak veya en azından Uzak Masaüstü Protokolü (RDP) sunucularını önemli ölçüde büyütmek zorunda kalan dünya çapındaki birçok kuruluş için söylenemez. eşzamanlı kullanıcılar.
Bu BT departmanlarına, özellikle de uzak işgücünün kendileri için yeni bir şey olduğu BT departmanlarına yardımcı olmak için içerik departmanımızla birlikte çalışarak ESET'in özellikle RDP'yi hedef aldığını gördüğü saldırı türlerini ve bunlara karşı güvenlik sağlamak için bazı temel adımları tartışan bir makale hazırladım. . O kağıt bulunabilir burada ESET'in kurumsal blogunda, eğer merak ediyorsan.
Bu değişikliğin gerçekleştiği sıralarda ESET, global tehdit raporlarıve fark ettiğimiz şeylerden biri de RDP saldırılarının artmaya devam etmesiydi. Bize göre 2022 yılının ilk dört ayına ait tehdit raporu, 100'den fazla milyar Bu tür saldırılara teşebbüs edildi ve bunların yarıdan fazlasının Rusya'daki IP adresi bloklarına dayandığı belirlendi.
Açıkçası, ESET'in tehdit istihbaratı ve telemetrisi yoluyla gördüklerini rapor etmek için son birkaç yılda geliştirilen RDP açıklarına ve bunların mümkün kıldığı saldırılara yeniden bakma ihtiyacı vardı. Biz de tam olarak bunu yaptık: 2020 makalemizin yeni bir versiyonunu, şimdi başlıklı Uzak Masaüstü Protokolü: Güvenli bir iş gücü için uzaktan erişimi yapılandırma, bu bilgiyi paylaşmak için yayınlandı.
RDP'de neler oluyor?
Gözden geçirilmiş bu makalenin ilk bölümünde, saldırıların son birkaç yılda nasıl geliştiğine bakıyoruz. Paylaşmak istediğim bir şey var ki her saldırıda artış olmuyor. ESET, bir güvenlik açığı türünden yararlanma girişimlerinde belirgin bir düşüş gördü:
- BlueKeep'in tespitleri (CVE-2019-0708) Uzak Masaüstü Hizmetlerindeki kötü amaçlı yazılımlardan yararlanma, 44'deki zirve noktasına göre %2020 azaldı. Bu düşüşü, etkilenen Windows sürümleri için yama uygulamalarına ek olarak ağ çevresinde kötüye kullanım korumasının birleşimine bağlıyoruz.
Bilgisayar güvenliği şirketleri hakkında sık sık duyulan şikayetlerden biri, güvenliğin her zaman daha da kötüye gittiği ve gelişmediği ve iyi haberlerin nadir ve geçici olduğu hakkında konuşmaya çok fazla zaman harcamalarıdır. Bu eleştirilerin bir kısmı doğru ancak güvenlik her zaman devam eden bir süreç: her zaman yeni tehditler ortaya çıkıyor. Bu durumda BlueKeep gibi bir güvenlik açığından yararlanma girişimlerinin zamanla azaldığını görmek iyi bir haber gibi görünüyor. RDP yaygın olarak kullanılmaya devam ediyor ve bu da saldırganların yararlanabilecekleri güvenlik açıkları konusunda araştırma yapmaya devam edecekleri anlamına geliyor.
Bir tür istismarın ortadan kalkması için, bunlara karşı savunmasız olan her şeyin kullanımının durdurulması gerekir. Bu kadar yaygın bir değişikliği en son Microsoft'un 7'da Windows 2009'yi piyasaya sürdüğü zaman gördüğümü hatırlıyorum. Windows 7, Otomatik Çalıştırma (AUTORUN.INF) desteği devre dışı bırakılmış olarak geldi. Microsoft daha sonra bu değişikliği Windows'un önceki tüm sürümlerine destekledi, ancak mükemmel bir şekilde olmasa da İlk kez. Windows 95'in 1995'te piyasaya sürülmesinden bu yana bir özellik olan AutoRun, aşağıdaki gibi solucanları yaymak için yoğun şekilde suistimal edildi: Conficker. Bir noktada AUTORUN.INF tabanlı solucanlar, ESET yazılımının karşılaştığı tehditlerin neredeyse dörtte birini oluşturuyordu. Bugün, bir hesap altında hesap veriyorlar. yüzde onda biri tespitlerden.
Otomatik Kullan'dan farklı olarak RDP, Windows'un düzenli olarak kullanılan bir özelliği olmaya devam ediyor ve ona karşı tek bir istismarın kullanımında azalma olması, RDP'ye yönelik saldırıların bir bütün olarak azaldığı anlamına gelmiyor. Aslına bakılırsa, güvenlik açıklarına yönelik saldırılar büyük oranda arttı ve bu da BlueKeep tespitlerinin azalmasına yönelik başka bir olasılığı gündeme getiriyor: Diğer RDP açıklarından yararlanmalar o kadar etkili olabilir ki saldırganlar bunlara yönelebilir.
2020'nin başından 2021'in sonuna kadar olan iki yıllık verilere bakmak bu değerlendirmeyi destekler nitelikte görünüyor. Bu dönemde ESET telemetrisi, kötü amaçlı RDP bağlantı girişimlerinde büyük bir artış olduğunu gösteriyor. Atlama ne kadar büyüktü? 2020'nin ilk çeyreğinde 1.97 milyar bağlantı denemesi gördük. 2021'in dördüncü çeyreği itibarıyla bu sayı %166.37'ün üzerinde bir artışla 8,400 milyar bağlantı denemesine ulaştı!
Şekil 2. Dünya çapında tespit edilen kötü amaçlı RDP bağlantı girişimleri (kaynak: ESET telemetrisi). Mutlak sayılar yuvarlanır
Açıkça görülüyor ki saldırganlar, casusluk yapmak, fidye yazılımı yerleştirmek veya başka bir suç eylemi gerçekleştirmek amacıyla kuruluşların bilgisayarlarına bağlanmanın değerini anlıyorlar. Ancak bu saldırılara karşı savunma yapmak da mümkün.
Gözden geçirilmiş belgenin ikinci kısmı, RDP'ye yönelik saldırılara karşı savunma konusunda güncellenmiş rehberlik sunmaktadır. Bu tavsiye daha çok ağlarını güçlendirmeye alışık olmayan BT profesyonellerine yönelik olsa da, daha deneyimli personele bile yardımcı olabilecek bilgiler içermektedir.
KOBİ saldırılarına ilişkin yeni veriler
RDP saldırılarına ilişkin veri kümesiyle birlikte, Sunucu İleti Bloğu (SMB) saldırılarına yönelik girişimlerden beklenmedik bir telemetri ilavesi geldi. Bu ilave avantaj göz önüne alındığında, verilere bakmadan edemedim ve makaleye KOBİ saldırıları ve bunlara karşı savunmalarla ilgili yeni bir bölümün eklenebileceği kadar eksiksiz ve ilginç olduğunu hissettim.
SMB, RDP oturumu sırasında dosyalara, yazıcılara ve diğer ağ kaynaklarına uzaktan erişilmesine olanak tanıdığı için RDP'ye eşlik eden bir protokol olarak düşünülebilir. 2017, EternalBlue'nun halka açık olarak piyasaya sürülmesine tanık oldu (CVE-2017-0144) solucanlı istismar. Bu istismarın kullanımı artmaya devam etti 2018, 2019ve içine 2020ESET telemetrisine göre.
Şekil 3. Dünya çapında CVE -2017-0144 "EternalBlue" algılamaları (Kaynak: ESET telemetrisi)
EternalBlue tarafından istismar edilen güvenlik açığı yalnızca protokolün 1'lı yıllara dayanan bir sürümü olan SMBv1990'de mevcut. Ancak SMBv1, onlarca yıldır işletim sistemlerinde ve ağ bağlantılı cihazlarda yaygın olarak uygulandı ve Microsoft, SMBv2017'in varsayılan olarak devre dışı olduğu Windows sürümlerini 1'de sunmaya başladı.
2020'nin sonunda ve 2021'e kadar ESET, EternalBlue güvenlik açığından yararlanma girişimlerinde belirgin bir düşüş gördü. BlueKeep'te olduğu gibi ESET, tespitlerdeki bu azalmayı yama uygulamalarına, ağ çevresindeki gelişmiş korumalara ve SMBv1 kullanımının azalmasına bağlıyor.
Nihai düşünceler
Gözden geçirilmiş bu makalede sunulan bu bilgilerin ESET'in telemetrisinden toplandığını unutmamak önemlidir. Tehdit telemetri verileriyle çalışıldığında, bu verilerin yorumlanmasında uygulanması gereken belirli koşullar vardır:
- Tehdit telemetrisinin ESET ile paylaşılması isteğe bağlıdır; bir müşteri ESET'in LiveGrid® sistemine bağlanmazsa veya anonimleştirilmiş istatistiksel verileri ESET ile paylaşmazsa, bu durumda müşterinin ESET yazılımını yüklerken neyle karşılaştığına dair hiçbir veriye sahip olmayacağız.
- Kötü amaçlı RDP ve SMB etkinliğinin tespiti, ESET'in birkaç koruyucu katmanı aracılığıyla gerçekleştirilir. teknolojileri, dahil olmak üzere Botnet Koruması, Kaba Kuvvet Saldırı Koruması, Ağ Saldırısı Korumasıvb. ESET programlarının tümü bu koruma katmanlarına sahip değildir. Örneğin ESET NOD32 Antivirus, ev kullanıcıları için kötü amaçlı yazılımlara karşı temel düzeyde koruma sağlar ve bu koruyucu katmanlara sahip değildir. Bunlar, ESET Internet Security ve ESET Smart Security Premium'un yanı sıra ESET'in iş kullanıcılarına yönelik uç nokta koruma programlarında da mevcuttur.
- Bu belgenin hazırlanmasında kullanılmamasına rağmen, ESET tehdit raporları bölge veya ülke düzeyine kadar coğrafi veriler sağlar. GeoIP tespiti bilim ve sanatın bir karışımıdır ve VPN kullanımı ve IPv4 bloklarının hızla değişen sahipliği gibi faktörler konum doğruluğu üzerinde etkiye sahip olabilir.
- Aynı şekilde ESET de bu alandaki birçok savunucudan biridir. Telemetri bize ESET yazılımının hangi yüklemelerinin engellediğini söyler ancak ESET'in diğer güvenlik ürünleri müşterilerinin nelerle karşılaştığına dair hiçbir bilgisi yoktur.
Bu faktörler nedeniyle saldırıların mutlak sayısı, ESET'in telemetrisinden öğrenebileceğimizden daha yüksek olacaktır. Bununla birlikte, telemetrimizin genel durumu doğru bir şekilde temsil ettiğine inanıyoruz; Çeşitli saldırıların tespitindeki yüzdesel olarak genel artış ve azalmanın yanı sıra ESET'in belirttiği saldırı eğilimlerinin güvenlik sektörü genelinde benzer olması muhtemeldir.
Meslektaşlarım Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná ve Peter Stančík'e bu makalenin gözden geçirilmesindeki yardımlarından dolayı özellikle teşekkür ederim.
Aryeh Goretsky, ZCSE, rMVP
Değerli Araştırmacı, ESET
- blockchain
- zeka
- cryptocurrency cüzdanlar
- kripto değişimi
- siber güvenlik
- siber suçluların
- Siber güvenlik
- iç güvenlik bakanlığı
- dijital cüzdanlar
- ESET Araştırması
- güvenlik duvarı
- Kaspersky
- kötü amaçlı yazılım
- Mcafee
- NexBLOC
- Platon
- plato yapay zekası
- Plato Veri Zekası
- Plato Oyunu
- PlatoVeri
- plato oyunu
- VPN
- Güvenliği Yaşıyoruz
- web sitesi güvenliği
- zefirnet
