Các dịch vụ truy cập từ xa bị định cấu hình sai tiếp tục cung cấp cho những kẻ xấu một đường dẫn dễ dàng truy cập vào mạng công ty - đây là cách bạn có thể giảm thiểu nguy cơ bị tấn công do lạm dụng Giao thức Máy tính Từ xa
Khi đại dịch COVID-19 lan rộng trên toàn cầu, nhiều người trong chúng ta, bao gồm cả tôi, đã chuyển sang làm việc toàn thời gian tại nhà. Nhiều nhân viên của ESET đã quen với việc làm việc từ xa trong một phần thời gian và chủ yếu là vấn đề mở rộng các nguồn lực hiện có để xử lý dòng người làm việc từ xa mới, chẳng hạn như mua thêm một vài máy tính xách tay và giấy phép VPN.
Tuy nhiên, điều tương tự không thể xảy ra đối với nhiều tổ chức trên khắp thế giới, những người phải thiết lập quyền truy cập cho lực lượng lao động từ xa của họ từ đầu hoặc ít nhất là mở rộng quy mô đáng kể các máy chủ Giao thức Máy tính Từ xa (RDP) của họ để làm cho quyền truy cập từ xa có thể sử dụng được cho nhiều người người dùng đồng thời.
Để giúp các bộ phận CNTT đó, đặc biệt là những bộ phận mà lực lượng lao động từ xa là một điều gì đó mới mẻ, tôi đã làm việc với bộ phận nội dung của chúng tôi để tạo một bài báo thảo luận về các loại tấn công mà ESET đang thấy đang nhắm mục tiêu cụ thể đến RDP và một số bước cơ bản để bảo vệ chống lại chúng . Giấy đó có thể được tìm thấy đây trên blog công ty của ESET, trong trường hợp bạn tò mò.
Cùng thời điểm thay đổi này xảy ra, ESET đã giới thiệu lại toàn cầu của chúng tôi báo cáo mối đe dọa, và một trong những điều chúng tôi ghi nhận được là các cuộc tấn công RDP tiếp tục phát triển. Theo chúng tôi báo cáo mối đe dọa trong bốn tháng đầu năm 2022, hơn 100 tỷ các cuộc tấn công như vậy đã được cố gắng thực hiện, hơn một nửa trong số đó được truy nguyên từ các khối địa chỉ IP của Nga.
Rõ ràng, cần phải có một cái nhìn khác về các khai thác RDP đã được phát triển và các cuộc tấn công mà chúng thực hiện được, trong vài năm qua để báo cáo những gì ESET đã nhìn thấy thông qua hệ thống đo lường từ xa và thông tin tình báo về mối đe dọa của nó. Vì vậy, chúng tôi đã làm được điều đó: một phiên bản mới của bài báo năm 2020 của chúng tôi, hiện có tiêu đề Giao thức Máy tính Từ xa: Định cấu hình quyền truy cập từ xa cho lực lượng lao động an toàn, đã được xuất bản để chia sẻ thông tin đó.
Điều gì đang xảy ra với RDP?
Trong phần đầu tiên của bài báo sửa đổi này, chúng tôi xem xét các cuộc tấn công đã phát triển như thế nào trong vài năm qua. Có một điều tôi muốn chia sẻ là không phải cứ tấn công là gia tăng. Đối với một loại lỗ hổng, ESET đã chứng kiến sự sụt giảm đáng kể trong các nỗ lực khai thác:
- Các phát hiện của BlueKeep (CVE-2019-0708) khai thác có thể sâu trong Dịch vụ Máy tính Từ xa đã giảm 44% so với mức đỉnh điểm vào năm 2020. Chúng tôi cho rằng sự sụt giảm này là do sự kết hợp của các phương pháp vá lỗi cho các phiên bản Windows bị ảnh hưởng cộng với bảo vệ khai thác ở chu vi mạng.
Một trong những lời phàn nàn thường được nghe về các công ty bảo mật máy tính là họ dành quá nhiều thời gian để nói về việc bảo mật luôn ngày càng kém đi và không được cải thiện, và rằng bất kỳ tin tốt nào là không thường xuyên và chỉ là tạm thời. Một số lời chỉ trích đó là có cơ sở, nhưng bảo mật luôn là một quá trình liên tục: các mối đe dọa mới luôn xuất hiện. Trong trường hợp này, việc cố gắng khai thác một lỗ hổng như BlueKeep giảm theo thời gian có vẻ là một tin tốt. RDP vẫn được sử dụng rộng rãi và điều này có nghĩa là những kẻ tấn công sẽ tiếp tục tiến hành nghiên cứu các lỗ hổng mà chúng có thể khai thác.
Để một lớp khai thác biến mất, bất cứ thứ gì dễ bị tấn công đối với chúng phải ngừng được sử dụng. Lần cuối cùng tôi nhớ mình đã thấy một sự thay đổi rộng rãi như vậy là khi Microsoft phát hành Windows 7 vào năm 2009. Windows 7 đi kèm với tính năng hỗ trợ AutoRun (AUTORUN.INF) bị vô hiệu hóa. Sau đó, Microsoft đã thông báo lại sự thay đổi này cho tất cả các phiên bản Windows trước đó, mặc dù không hoàn hảo lần đầu tiên. Một tính năng kể từ khi Windows 95 được phát hành vào năm 1995, AutoRun đã bị lạm dụng rất nhiều để phát tán các loại sâu như Conficker. Tại một thời điểm, sâu dựa trên AUTORUN.INF chiếm gần một phần tư các mối đe dọa mà phần mềm của ESET gặp phải. Ngày nay, chúng chiếm dưới một phần mười phần trăm phát hiện.
Không giống như AutoPlay, RDP vẫn là một tính năng được sử dụng thường xuyên của Windows và chỉ vì giảm việc sử dụng một cách khai thác duy nhất chống lại nó không có nghĩa là các cuộc tấn công chống lại nó nói chung cũng giảm. Trên thực tế, các cuộc tấn công chống lại các lỗ hổng của nó đã tăng lên ồ ạt, điều này dẫn đến một khả năng khác làm giảm khả năng phát hiện BlueKeep: Các cách khai thác RDP khác có thể hiệu quả hơn nhiều đến mức những kẻ tấn công đã chuyển sang chúng.
Nhìn vào dữ liệu trị giá hai năm từ đầu năm 2020 đến cuối năm 2021 có vẻ như đồng ý với đánh giá này. Trong thời gian đó, phép đo từ xa của ESET cho thấy sự gia tăng lớn các nỗ lực kết nối RDP độc hại. Bước nhảy lớn đến mức nào? Trong quý đầu tiên của năm 2020, chúng tôi đã thấy 1.97 tỷ lần thử kết nối. Đến quý 2021 năm 166.37, con số này đã tăng lên 8,400 tỷ lần thử kết nối, tăng hơn XNUMX%!
Hình 2. Các nỗ lực kết nối RDP độc hại được phát hiện trên toàn thế giới (nguồn: đo từ xa ESET). Số tuyệt đối được làm tròn
Rõ ràng, những kẻ tấn công đang tìm thấy giá trị trong việc kết nối với máy tính của các tổ chức, cho dù để thực hiện hoạt động gián điệp, gieo trồng ransomware hoặc một số hành động tội phạm khác. Nhưng cũng có thể phòng thủ trước những cuộc tấn công này.
Phần thứ hai của bài báo sửa đổi cung cấp hướng dẫn cập nhật về cách bảo vệ chống lại các cuộc tấn công vào RDP. Mặc dù lời khuyên này hướng đến những chuyên gia CNTT có thể không quen với việc làm cứng mạng của họ, nhưng nó chứa thông tin thậm chí có thể hữu ích cho những nhân viên có kinh nghiệm hơn.
Dữ liệu mới về các cuộc tấn công SMB
Với tập hợp dữ liệu về các cuộc tấn công RDP, một sự bổ sung bất ngờ của phép đo từ xa từ các cuộc tấn công Khối thông báo máy chủ (SMB) đã cố gắng. Với phần thưởng bổ sung này, tôi không thể không xem dữ liệu và cảm thấy nó đủ đầy đủ và thú vị để có thể thêm một phần mới về các cuộc tấn công SMB và các biện pháp phòng thủ chống lại chúng.
SMB có thể được coi là một giao thức đồng hành với RDP, trong đó nó cho phép các tệp, máy in và các tài nguyên mạng khác được truy cập từ xa trong một phiên RDP. Năm 2017 chứng kiến sự ra mắt công khai của EternalBlue (CVE-2017-0144) khai thác sâu. Việc sử dụng khai thác tiếp tục phát triển thông qua 2018, 2019, và vào 2020, theo đo từ xa ESET.
Hình 3. CVE -2017-0144 Phát hiện “EternalBlue” trên toàn thế giới (Nguồn: ESET đo từ xa)
Lỗ hổng được khai thác bởi EternalBlue chỉ có trong SMBv1, một phiên bản của giao thức có từ những năm 1990. Tuy nhiên, SMBv1 đã được triển khai rộng rãi trong các hệ điều hành và thiết bị nối mạng trong nhiều thập kỷ và phải đến năm 2017, Microsoft mới bắt đầu xuất xưởng các phiên bản Windows bị tắt SMBv1 theo mặc định.
Vào cuối năm 2020 và đến năm 2021, ESET đã chứng kiến sự sụt giảm đáng kể nỗ lực khai thác lỗ hổng EternalBlue. Cũng như với BlueKeep, ESET cho rằng việc giảm phát hiện này là do thực tiễn vá lỗi, cải thiện bảo vệ ở chu vi mạng và giảm mức sử dụng SMBv1.
Lời cuối
Điều quan trọng cần lưu ý là thông tin được trình bày trong bài báo sửa đổi này được thu thập từ hệ thống đo từ xa của ESET. Bất cứ khi nào người ta làm việc với dữ liệu đo từ xa của mối đe dọa, có một số điều khoản nhất định phải được áp dụng để giải thích nó:
- Chia sẻ phép đo từ xa mối đe dọa với ESET là tùy chọn; nếu khách hàng không kết nối với hệ thống LiveGrid® của ESET hoặc chia sẻ dữ liệu thống kê ẩn danh với ESET, thì chúng tôi sẽ không có bất kỳ dữ liệu nào về những gì họ gặp phải khi cài đặt phần mềm ESET.
- Việc phát hiện hoạt động RDP và SMB độc hại được thực hiện thông qua một số lớp bảo vệ của ESET công nghệ, Bao gồm cả Bảo vệ Botnet, Bảo vệ tấn công bạo lực, Bảo vệ tấn công mạng, và kể từ đó trở đi. Không phải tất cả các chương trình của ESET đều có các lớp bảo vệ này. Ví dụ, ESET NOD32 Antivirus cung cấp mức bảo vệ cơ bản chống lại phần mềm độc hại cho người dùng gia đình và không có các lớp bảo vệ này. Chúng có mặt trong ESET Internet Security và ESET Smart Security Premium, cũng như trong các chương trình bảo vệ điểm cuối của ESET dành cho người dùng doanh nghiệp.
- Mặc dù nó không được sử dụng trong quá trình chuẩn bị bài báo này, nhưng các báo cáo về mối đe dọa của ESET cung cấp dữ liệu địa lý xuống cấp khu vực hoặc quốc gia. Phát hiện GeoIP là sự kết hợp giữa khoa học và nghệ thuật, và các yếu tố như việc sử dụng VPN và quyền sở hữu thay đổi nhanh chóng của các khối IPv4 có thể ảnh hưởng đến độ chính xác của vị trí.
- Tương tự như vậy, ESET là một trong nhiều hậu vệ trong không gian này. Telemetry cho chúng tôi biết những cài đặt phần mềm của ESET đang ngăn cản những gì, nhưng ESET không có thông tin chi tiết về những gì khách hàng của các sản phẩm bảo mật khác đang gặp phải.
Vì những yếu tố này, số lượng tuyệt đối các cuộc tấn công sẽ cao hơn những gì chúng ta có thể học được từ phép đo từ xa của ESET. Điều đó nói rằng, chúng tôi tin rằng máy đo từ xa của chúng tôi là một đại diện chính xác của tình hình tổng thể; sự gia tăng và giảm tổng thể trong việc phát hiện các cuộc tấn công khác nhau, theo tỷ lệ phần trăm, cũng như các xu hướng tấn công được ESET lưu ý, có khả năng giống nhau trong toàn ngành bảo mật.
Đặc biệt cảm ơn các đồng nghiệp của tôi Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná và Peter Stančík đã hỗ trợ họ trong việc sửa đổi bài báo này.
Aryeh Goretsky, ZCSE, rMVP
Nhà nghiên cứu xuất sắc, ESET
- blockchain
- thiên tài
- ví tiền điện tử
- trao đổi tiền điện tử
- an ninh mạng
- tội phạm mạng
- An ninh mạng
- bộ phận an ninh quê hương
- ví kỹ thuật số
- Nghiên cứu ESET
- tường lửa
- Kaspersky
- phần mềm độc hại
- macfee
- NexBLOC
- plato
- Plato ai
- Thông tin dữ liệu Plato
- Trò chơi Plato
- PlatoDữ liệu
- Platogaming
- VPN
- Chúng tôi sống An ninh
- bảo mật website
- zephyrnet
