RDP на радарі: детальний погляд на розвиток загроз віддаленого доступу

Оскільки пандемія COVID-19 поширилася по всьому світу, багато хто з нас, включаючи мене, почали працювати повний робочий день вдома. Багато співробітників ESET уже звикли частину часу працювати віддалено, і в основному це було питання збільшення наявних ресурсів, щоб впоратися з притоком нових віддалених співробітників, наприклад придбати ще кілька ноутбуків і ліцензії VPN.

Однак цього не можна сказати про багато організацій у всьому світі, яким довелося або налаштовувати доступ для своїх віддалених співробітників з нуля, або принаймні значно розширювати свої сервери протоколу віддаленого робочого столу (RDP), щоб зробити віддалений доступ доступним для багатьох одночасних користувачів.

Щоб допомогти тим ІТ-відділам, особливо тим, для яких віддалена робоча сила була чимось новим, я працював з нашим відділом контенту, щоб створити документ, у якому обговорювалися типи атак, які спостерігала ESET і спрямовані саме на RDP, а також деякі основні кроки для захисту від них. . Цей папір можна знайти тут, у корпоративному блозі ESET, якщо вам цікаво.

Приблизно в той самий час, коли відбулася ця зміна, ESET повторно представила наш глобальний звіти про загрози, і одна з речей, яку ми помітили, полягає в тому, що атаки RDP продовжували зростати. Згідно з нашими звіт про загрози за перші чотири місяці 2022 року, старше 100 мільярд були спроби таких атак, більше половини з яких були пов’язані з блокуванням російських IP-адрес.

Зрозуміло, що виникла потреба ще раз поглянути на розроблені RDP-експлойти та атаки, які вони зробили можливими за останні пару років, щоб повідомити про те, що ESET бачить за допомогою аналізу загроз і телеметрії. Отже, ми зробили саме це: випустили нову версію нашої статті за 2020 рік під назвою Протокол віддаленого робочого столу: налаштування віддаленого доступу для безпечної роботи, було опубліковано, щоб поділитися цією інформацією.

Що відбувається з RDP?

У першій частині цього переглянутого документа ми розглянемо, як розвивалися атаки за останні пару років. Я хотів би поділитися однією річчю: не кожна атака зростала. Для одного типу вразливості ESET помітила помітне зменшення спроб використання:

• Виявлення BlueKeep (CVE-2019-0708) черв’ячний експлойт у службах віддаленого робочого столу зменшився на 44% порівняно з піком у 2020 році. Ми пояснюємо це зниження поєднанням методів виправлення для постраждалих версій Windows із захистом від експлойтів на периметрі мережі.

Одна з часто почутих скарг на компанії, що займаються комп’ютерною безпекою, полягає в тому, що вони витрачають надто багато часу на розмови про те, що безпека постійно погіршується, а не покращується, і що будь-які хороші новини є нечастими та тимчасовими. Частина цієї критики справедлива, але безпека — це завжди постійний процес: постійно з’являються нові загрози. У цьому випадку те, що спроби використання такої вразливості, як BlueKeep, з часом зменшуються, здається гарною новиною. RDP залишається широко використовуваним, а це означає, що зловмисники збираються продовжувати дослідження вразливостей, якими вони можуть скористатися.

Щоб клас експлойтів зник, усе, що є вразливим до них, має припинити використовуватися. Востаннє, як я пам’ятаю, бачив таку масштабну зміну, коли Microsoft випустила Windows 7 у 2009 році. Windows 7 поставлялася з вимкненою підтримкою AutoRun (AUTORUN.INF). Microsoft потім перенесла цю зміну на всі попередні версії Windows, хоча й не ідеально вперше. Функція AutoRun з моменту виходу Windows 95 у 1995 році сильно використовувалася для розповсюдження хробаків, як Conficker. У певний момент хробаки на основі AUTORUN.INF становили майже чверть загроз, з якими стикалося програмне забезпечення ESET. Сьогодні вони враховуються під а десята відсотка виявлень.

На відміну від AutoPlay, RDP залишається регулярно використовуваною функцією Windows, і те, що проти нього зменшилося використання одного експлойта, не означає, що атаки проти нього в цілому зменшуються. Насправді атаки на його вразливості значно зросли, що відкриває ще одну можливість для зменшення виявлення BlueKeep: інші експлойти RDP можуть бути набагато ефективнішими, що зловмисники перемикаються на них.

Подивившись на дані за два роки з початку 2020 року до кінця 2021 року, здається, можна погодитися з цією оцінкою. Протягом цього періоду телеметрія ESET показує значне збільшення кількості зловмисних спроб підключення RDP. Наскільки великим був стрибок? У першому кварталі 2020 року ми бачили 1.97 мільярда спроб підключення. До четвертого кварталу 2021 року кількість спроб підключення зросла до 166.37 мільярда, тобто більше ніж на 8,400%!

Зрозуміло, що зловмисники знаходять цінність у підключенні до комп’ютерів організацій, чи то для шпигунства, розповсюдження програм-вимагачів чи інших злочинних дій. Але також можна захиститися від цих атак.

Друга частина переглянутого документа містить оновлені вказівки щодо захисту від атак на RDP. Хоча ця порада більшою мірою орієнтована на ІТ-фахівців, які, можливо, не звикли посилювати свою мережу, вона містить інформацію, яка може бути корисною навіть для більш досвідченого персоналу.

Нові дані про SMB атаки

Разом із набором даних про атаки RDP з’явилося несподіване додавання телеметрії від спроб блокування повідомлень сервера (SMB). Враховуючи цей додатковий бонус, я не міг не поглянути на дані, і відчув, що вони вичерпні та достатньо цікаві, щоб до статті можна було додати новий розділ про атаки SMB та захист від них.

SMB можна розглядати як супутній протокол RDP, оскільки він дозволяє віддалено отримувати доступ до файлів, принтерів та інших мережевих ресурсів під час сеансу RDP. У 2017 році відбувся публічний випуск EternalBlue (CVE-2017-0144) шкідливий експлойт. Використання експлойту продовжувало зростати 2018, 2019, і в 2020, за даними телеметрії ESET.

Уразливість, яку використовує EternalBlue, присутня лише в SMBv1, версії протоколу, що датується 1990-ми роками. Проте протокол SMBv1 широко використовувався в операційних системах і мережевих пристроях протягом десятиліть, і лише в 2017 році Microsoft почала випуск версій Windows з вимкненим протоколом SMBv1 за замовчуванням.

Наприкінці 2020 року та протягом 2021 року ESET спостерігала помітне зменшення спроб використання вразливості EternalBlue. Як і у випадку з BlueKeep, ESET пов’язує це зменшення кількості виявлень із застосуванням виправлень, покращеним захистом на периметрі мережі та зменшенням використання SMBv1.

Заключні думки

Важливо зазначити, що цю інформацію, представлену в цьому переглянутому документі, було зібрано з телеметрії ESET. Кожного разу, коли хтось працює з даними телеметрії про загрози, для їх інтерпретації необхідно дотримуватися певних умов:

1. Обмінюватися телеметрією загроз з ESET необов’язково; якщо клієнт не підключається до системи ESET LiveGrid® або не ділиться анонімними статистичними даними з ESET, ми не матимемо жодних даних про те, з чим зіткнулося його встановлення програмного забезпечення ESET.
2. Виявлення зловмисної активності RDP і SMB здійснюється за допомогою кількох рівнів захисту ESET технології, У тому числі Захист від ботнету, Захист від атак грубою силою, Захист від мережевих атак, і так далі. Не всі програми ESET мають ці рівні захисту. Наприклад, ESET NOD32 Antivirus забезпечує базовий рівень захисту від шкідливих програм для домашніх користувачів і не має цих захисних рівнів. Вони присутні в ESET Internet Security і ESET Smart Security Premium, а також у програмах захисту кінцевих точок ESET для бізнес-користувачів.
3. Хоча звіти про загрози ESET не використовувалися під час підготовки цієї статті, вони надають географічні дані аж до рівня регіону чи країни. Виявлення GeoIP — це поєднання науки та мистецтва, і такі фактори, як використання VPN і швидка зміна власності на блоки IPv4, можуть впливати на точність визначення місцезнаходження.
4. Крім того, ESET є одним із багатьох захисників у цьому просторі. Телеметрія повідомляє нам, чому заважає інсталяція програмного забезпечення ESET, але ESET не знає, з чим стикаються клієнти інших продуктів безпеки.

Через ці фактори абсолютна кількість атак буде вищою, ніж ми можемо отримати дані телеметрії ESET. Проте ми вважаємо, що наша телеметрія точно відображає загальну ситуацію; загальне збільшення та зменшення виявлення різних атак у відсотковому співвідношенні, а також тенденції атак, зазначені ESET, ймовірно, будуть подібними в галузі безпеки.

Особлива подяка моїм колегам Брюсу П. Барреллу, Якубу Філіпу, Томашу Фолтину, Рене Холту, Елоду Кіронський, Ондрею Кубовичу, Габріель Ладусер-Деспін, Зузані Пардубській, Лінді Скручані та Пітеру Станчику за їхню допомогу в перегляді цієї статті.

Ар’є Горецький, ZCSE, rMVP
Заслужений науковий співробітник ESET