غلط کنفیگرڈ ریموٹ ایکسیس سروسز برے اداکاروں کو کمپنی کے نیٹ ورکس تک رسائی کا آسان راستہ فراہم کرتی رہتی ہیں - یہاں یہ ہے کہ آپ ریموٹ ڈیسک ٹاپ پروٹوکول کا غلط استعمال کرتے ہوئے حملوں کے لیے اپنی نمائش کو کیسے کم کرسکتے ہیں۔
جیسے ہی COVID-19 کی وبا پوری دنیا میں پھیل گئی، ہم میں سے بہت سے لوگوں نے، جن میں میں خود بھی شامل تھا، گھر سے کل وقتی کام کرنے کی طرف متوجہ ہوا۔ ESET کے بہت سے ملازمین پہلے ہی وقت کا کچھ حصہ دور سے کام کرنے کے عادی تھے، اور یہ بڑے پیمانے پر نئے ریموٹ ورکرز کی آمد کو سنبھالنے کے لیے موجودہ وسائل کو بڑھانے کا معاملہ تھا، جیسے کہ چند مزید لیپ ٹاپ اور VPN لائسنس خریدنا۔
اگرچہ، دنیا بھر میں بہت سی تنظیموں کے لیے ایسا نہیں کہا جا سکتا، جنھیں یا تو شروع سے ہی اپنی ریموٹ ورک فورس کے لیے رسائی کو ترتیب دینا پڑا یا کم از کم اپنے ریموٹ ڈیسک ٹاپ پروٹوکول (RDP) سرورز کو نمایاں طور پر بڑھانا پڑا تاکہ بہت سے لوگوں کے لیے ریموٹ رسائی کو قابل استعمال بنایا جا سکے۔ ہم وقت صارفین.
ان IT محکموں کی مدد کرنے کے لیے، خاص طور پر جن کے لیے دور دراز کی افرادی قوت کچھ نیا تھا، میں نے اپنے مواد کے شعبے کے ساتھ مل کر ایک مقالہ بنایا جس میں ESET کے حملوں کی اقسام پر بحث کی گئی جو خاص طور پر RDP کو نشانہ بنا رہے تھے، اور ان کے خلاف حفاظت کے لیے کچھ بنیادی اقدامات۔ . وہ کاغذ مل سکتا ہے۔ یہاں ESET کے کارپوریٹ بلاگ پر، اگر آپ متجسس ہیں۔
تقریباً اسی وقت جب یہ تبدیلی واقع ہو رہی تھی، ESET نے ہمارے عالمی کو دوبارہ متعارف کرایا دھمکی کی اطلاعاتاور ایک چیز جو ہم نے نوٹ کی وہ یہ تھی کہ آر ڈی پی کے حملے مسلسل بڑھ رہے ہیں۔ ہمارے مطابق 2022 کے پہلے چار مہینوں کی دھمکی کی رپورٹ، 100،XNUMX سے زیادہ ارب اس طرح کے حملوں کی کوشش کی گئی تھی، جن میں سے آدھے سے زیادہ روسی آئی پی ایڈریس بلاکس سے سراغ لگائے گئے تھے۔
واضح طور پر، RDP کے کارناموں پر ایک اور نظر ڈالنے کی ضرورت تھی جو گزشتہ چند سالوں میں تیار کیے گئے تھے، اور ان حملوں کو ممکن بنایا گیا تھا، یہ بتانے کے لیے کہ ESET اپنی دھمکی آمیز انٹیلی جنس اور ٹیلی میٹری کے ذریعے کیا دیکھ رہا ہے۔ لہذا، ہم نے صرف یہ کیا ہے: ہمارے 2020 پیپر کا ایک نیا ورژن، جس کا اب عنوان ہے۔ ریموٹ ڈیسک ٹاپ پروٹوکول: ایک محفوظ افرادی قوت کے لیے ریموٹ رسائی کو ترتیب دینا، اس معلومات کو شیئر کرنے کے لئے شائع کیا گیا ہے۔
آر ڈی پی کے ساتھ کیا ہو رہا ہے؟
اس نظرثانی شدہ مقالے کے پہلے حصے میں، ہم دیکھتے ہیں کہ پچھلے دو سالوں میں حملوں میں کیسے اضافہ ہوا ہے۔ ایک بات جو میں بتانا چاہوں گا وہ یہ ہے کہ ہر حملے میں اضافہ نہیں ہوتا ہے۔ ایک قسم کی کمزوری کے لیے، ESET نے استحصال کی کوششوں میں واضح کمی دیکھی:
- بلیو کیپ کی کھوج (CVE-2019-0708) ریموٹ ڈیسک ٹاپ سروسز میں کیڑے کے قابل استحصال میں 44 میں ان کی چوٹی سے 2020 فیصد کمی واقع ہوئی ہے۔ ہم اس کمی کو ونڈوز کے متاثرہ ورژن کے لیے پیچنگ کے طریقوں کے مجموعہ سے منسوب کرتے ہیں اور نیٹ ورک پریمیٹر پر تحفظ کا استحصال کرتے ہیں۔
کمپیوٹر سیکیورٹی کمپنیوں کے بارے میں اکثر سنی جانے والی شکایتوں میں سے ایک یہ ہے کہ وہ اس بارے میں بات کرنے میں بہت زیادہ وقت صرف کرتی ہیں کہ کس طرح سیکیورٹی ہمیشہ خراب ہوتی جارہی ہے اور بہتر نہیں ہورہی ہے، اور یہ کہ کوئی بھی اچھی خبر کبھی کبھار اور عارضی ہوتی ہے۔ اس میں سے کچھ تنقید درست ہے، لیکن سیکورٹی ہمیشہ ایک جاری عمل ہے: نئے خطرات ہمیشہ ابھرتے رہتے ہیں۔ اس مثال میں، بلیو کیپ جیسی کمزوری سے فائدہ اٹھانے کی کوششوں کو وقت کے ساتھ کم ہونا اچھی خبر کی طرح لگتا ہے۔ RDP وسیع پیمانے پر استعمال ہوتا رہتا ہے، اور اس کا مطلب یہ ہے کہ حملہ آور ان کمزوریوں کے بارے میں تحقیق جاری رکھیں گے جن سے وہ فائدہ اٹھا سکتے ہیں۔
استحصال کے ایک طبقے کے غائب ہونے کے لیے، جو کچھ بھی ان کے لیے کمزور ہے اسے استعمال کرنا بند کرنا ہوگا۔ پچھلی بار جب مجھے اس طرح کی وسیع پیمانے پر تبدیلی دیکھنے کو یاد ہے جب مائیکروسافٹ نے 7 میں ونڈوز 2009 کو ریلیز کیا تھا۔ ونڈوز 7 آٹو رن (AUTORUN.INF) کو غیر فعال کرنے کی حمایت کے ساتھ آیا تھا۔ مائیکروسافٹ نے پھر اس تبدیلی کو ونڈوز کے تمام پچھلے ورژنز میں بیک پورٹ کیا، حالانکہ بالکل نہیں ہے۔ پہلی بار. ونڈوز 95 کے 1995 میں ریلیز ہونے کے بعد سے ایک خصوصیت، آٹو رن کو کیڑے پھیلانے کے لیے بہت زیادہ زیادتی کا نشانہ بنایا گیا۔ کنفکر. ایک موقع پر، AUTORUN.INF پر مبنی کیڑے ESET کے سافٹ ویئر کو درپیش خطرات کا تقریباً ایک چوتھائی حصہ تھے۔ آج، وہ ایک کے تحت اکاؤنٹ فیصد کا دسواں حصہ پتہ لگانے کے.
آٹو پلے کے برعکس، آر ڈی پی ونڈوز کی باقاعدگی سے استعمال ہونے والی خصوصیت بنی ہوئی ہے اور صرف اس لیے کہ اس کے خلاف کسی ایک استحصال کے استعمال میں کمی واقع ہوئی ہے اس کا مطلب یہ نہیں ہے کہ مجموعی طور پر اس کے خلاف حملے کم ہو رہے ہیں۔ درحقیقت، اس کی کمزوریوں کے خلاف حملوں میں بڑے پیمانے پر اضافہ ہوا ہے، جو بلیو کیپ کی کھوج میں کمی کا ایک اور امکان پیدا کرتا ہے: دیگر RDP کے کارنامے اتنے زیادہ موثر ہو سکتے ہیں کہ حملہ آور ان کی طرف جا چکے ہیں۔
2020 کے آغاز سے 2021 کے آخر تک کے دو سال کے اعداد و شمار کو دیکھ کر ایسا لگتا ہے کہ اس تشخیص سے اتفاق کیا جائے گا۔ اس مدت کے دوران، ESET ٹیلی میٹری نقصان دہ RDP کنکشن کی کوششوں میں بڑے پیمانے پر اضافہ دکھاتی ہے۔ چھلانگ کتنی بڑی تھی؟ 2020 کی پہلی سہ ماہی میں، ہم نے 1.97 بلین کنکشن کی کوششیں دیکھیں۔ 2021 کی چوتھی سہ ماہی تک، جو 166.37 بلین کنکشن کی کوششوں تک پہنچ گئی، جو کہ 8,400% سے زیادہ کا اضافہ ہے!
تصویر 2. دنیا بھر میں RDP کنکشن کی خراب کوششوں کا پتہ چلا (ماخذ: ESET ٹیلی میٹری)۔ مطلق نمبر گول ہیں۔
واضح طور پر، حملہ آوروں کو تنظیموں کے کمپیوٹرز سے منسلک ہونے میں قدر مل رہی ہے، چاہے وہ جاسوسی کے لیے، رینسم ویئر لگانے کے لیے، یا کوئی اور مجرمانہ فعل۔ لیکن ان حملوں کے خلاف دفاع بھی ممکن ہے۔
نظرثانی شدہ کاغذ کا دوسرا حصہ RDP پر حملوں کے خلاف دفاع کے بارے میں تازہ ترین رہنمائی فراہم کرتا ہے۔ اگرچہ یہ مشورہ ان IT پیشہ ور افراد کے لیے زیادہ موزوں ہے جو اپنے نیٹ ورک کو سخت کرنے کے عادی نہیں ہیں، اس میں ایسی معلومات شامل ہیں جو زیادہ تجربہ کار عملے کے لیے بھی مددگار ثابت ہو سکتی ہیں۔
SMB حملوں پر نیا ڈیٹا
RDP حملوں پر ڈیٹا کے سیٹ کے ساتھ سرور میسج بلاک (SMB) حملوں کی کوشش سے ٹیلی میٹری میں غیر متوقع اضافہ ہوا۔ اس اضافی بونس کو دیکھتے ہوئے، میں اعداد و شمار کو دیکھ کر مدد نہیں کر سکا، اور محسوس کیا کہ یہ مکمل اور کافی دلچسپ ہے کہ SMB حملوں اور ان کے خلاف دفاع پر ایک نیا سیکشن پیپر میں شامل کیا جا سکتا ہے۔
ایس ایم بی کو آر ڈی پی کے ساتھی پروٹوکول کے طور پر سوچا جا سکتا ہے، اس میں یہ فائلوں، پرنٹرز، اور نیٹ ورک کے دیگر وسائل کو آر ڈی پی سیشن کے دوران دور سے رسائی حاصل کرنے کی اجازت دیتا ہے۔ 2017 میں EternalBlue کی عوامی ریلیز دیکھی گئی (CVE-2017-0144) wormable استحصال. استحصال کا استعمال بڑھتا ہی چلا گیا۔ 2018, 2019، اور میں 2020ESET ٹیلی میٹری کے مطابق۔
تصویر 3. CVE -2017-0144 دنیا بھر میں "EternalBlue" کا پتہ لگانا (ماخذ: ESET ٹیلی میٹری)
EternalBlue کی طرف سے استحصال کی گئی کمزوری صرف SMBv1 میں موجود ہے، پروٹوکول کا ایک ورژن جو 1990 کی دہائی کا ہے۔ تاہم، SMBv1 کو کئی دہائیوں تک آپریٹنگ سسٹمز اور نیٹ ورک والے آلات میں بڑے پیمانے پر لاگو کیا گیا تھا اور یہ 2017 تک نہیں ہوا تھا کہ مائیکروسافٹ نے SMBv1 کو بطور ڈیفالٹ غیر فعال کر کے ونڈوز کے ورژن بھیجنا شروع کیا۔
2020 کے آخر میں اور 2021 تک، ESET نے EternalBlue کے خطرے سے فائدہ اٹھانے کی کوششوں میں واضح کمی دیکھی۔ جیسا کہ BlueKeep کے ساتھ، ESET پتہ لگانے میں اس کمی کو پیچنگ کے طریقوں، نیٹ ورک کے دائرے میں بہتر تحفظات، اور SMBv1 کے کم استعمال سے منسوب کرتا ہے۔
فائنل خیالات
یہ نوٹ کرنا ضروری ہے کہ اس نظر ثانی شدہ مقالے میں پیش کی گئی معلومات ESET کی ٹیلی میٹری سے جمع کی گئی تھیں۔ کسی بھی وقت خطرہ ٹیلی میٹری ڈیٹا کے ساتھ کام کر رہا ہے، اس کی تشریح کرنے کے لیے کچھ شرائط ہیں جن کا اطلاق کرنا ضروری ہے:
- ESET کے ساتھ تھریٹ ٹیلی میٹری کا اشتراک اختیاری ہے۔ اگر کوئی گاہک ESET کے LiveGrid® سسٹم سے منسلک نہیں ہوتا ہے یا ESET کے ساتھ گمنام شماریاتی ڈیٹا کا اشتراک نہیں کرتا ہے، تو ہمارے پاس اس بارے میں کوئی ڈیٹا نہیں ہوگا کہ ESET کے سافٹ ویئر کی ان کی تنصیب کا کیا سامنا ہوا۔
- نقصان دہ RDP اور SMB سرگرمی کا پتہ لگانا ESET کی حفاظتی کئی تہوں کے ذریعے کیا جاتا ہے۔ ٹیکنالوجی، سمیت بوٹ نیٹ پروٹیکشن, بروٹ فورس اٹیک پروٹیکشن, نیٹ ورک اٹیک پروٹیکشن، علی هذا القیاس. ESET کے تمام پروگراموں میں تحفظ کی یہ پرتیں نہیں ہیں۔ مثال کے طور پر، ESET NOD32 اینٹی وائرس گھریلو صارفین کے لیے میلویئر کے خلاف بنیادی سطح کا تحفظ فراہم کرتا ہے اور اس میں یہ حفاظتی پرتیں نہیں ہیں۔ وہ ESET Internet Security اور ESET Smart Security Premium کے ساتھ ساتھ کاروباری صارفین کے لیے ESET کے اینڈ پوائنٹ پروٹیکشن پروگراموں میں موجود ہیں۔
- اگرچہ اسے اس مقالے کی تیاری میں استعمال نہیں کیا گیا تھا، لیکن ESET خطرے کی رپورٹیں علاقے یا ملک کی سطح پر جغرافیائی ڈیٹا فراہم کرتی ہیں۔ GeoIP کا پتہ لگانا سائنس اور آرٹ کا مرکب ہے، اور VPNs کا استعمال اور IPv4 بلاکس کی تیزی سے بدلتی ملکیت جیسے عوامل محل وقوع کی درستگی پر اثر ڈال سکتے ہیں۔
- اسی طرح، ESET اس جگہ کے بہت سے محافظوں میں سے ایک ہے۔ ٹیلی میٹری ہمیں بتاتی ہے کہ ESET کے سافٹ ویئر کی کون سی تنصیبات روک رہی ہیں، لیکن ESET کے پاس اس بات کی کوئی بصیرت نہیں ہے کہ دیگر سیکیورٹی پروڈکٹس کے صارفین کس چیز کا سامنا کر رہے ہیں۔
ان عوامل کی وجہ سے، حملوں کی مطلق تعداد اس سے زیادہ ہونے والی ہے جو ہم ESET کی ٹیلی میٹری سے سیکھ سکتے ہیں۔ اس نے کہا، ہمیں یقین ہے کہ ہماری ٹیلی میٹری مجموعی صورتحال کی درست نمائندگی کرتی ہے۔ مختلف حملوں کا پتہ لگانے میں مجموعی طور پر اضافہ اور کمی، فیصد کے لحاظ سے، نیز حملے کے رجحانات جو ESET کے ذریعہ نوٹ کیے گئے ہیں، ممکنہ طور پر پوری سیکیورٹی انڈسٹری میں یکساں ہوں گے۔
اپنے ساتھیوں بروس پی. بریل، جیکب فلپ، ٹوماس فولٹن، رینے ہولٹ، ایلوڈ کرونسکی، اونڈریج کوبوویچ، گیبریل لاڈوسر-ڈیسپنز، زوزانا پرڈوبسک، لنڈا سکروکانا، اور پیٹر اسٹینیک کا اس مقالے کی نظر ثانی میں مدد کے لیے خصوصی شکریہ۔
آریہ گورٹسکی، زیڈ سی ایس ای، آر ایم وی پی
ممتاز محقق، ESET
