配置错误的远程访问服务继续为不良行为者提供访问公司网络的便捷途径——以下是如何最大限度地减少滥用远程桌面协议的攻击风险
随着 COVID-19 大流行在全球蔓延,我们中的许多人,包括我自己在内,都转向在家全职工作。 ESET 的许多员工在部分时间已经习惯了远程工作,这主要是扩大现有资源以应对新的远程工作人员的涌入,例如购买更多的笔记本电脑和 VPN 许可证。
然而,对于世界各地的许多组织来说却并非如此,他们要么必须从头开始为远程员工设置访问权限,要么至少显着扩展其远程桌面协议 (RDP) 服务器以使远程访问可供许多人使用并发用户。
为了帮助那些 IT 部门,特别是那些对远程员工来说是新事物的部门,我与我们的内容部门合作创建了一篇论文,讨论 ESET 看到的专门针对 RDP 的攻击类型,以及一些基本步骤来保护它们. 可以找到那张纸 在 ESET 的企业博客上,以防你好奇。
大约在发生这种变化的同时,ESET 重新引入了我们的全球 威胁报告,我们注意到的一件事是 RDP 攻击持续增长。 根据我们的 2022 年前四个月的威胁报告,超过100 十亿 尝试过此类攻击,其中一半以上可追溯到俄罗斯 IP 地址块。
显然,有必要重新审视在过去几年中开发的 RDP 漏洞利用以及它们可能造成的攻击,以报告 ESET 通过其威胁情报和遥测技术看到的情况。 所以,我们已经做到了:我们 2020 年论文的新版本,现在标题为 远程桌面协议:为安全的员工配置远程访问, 已发布以共享该信息。
RDP 发生了什么?
在本修订文件的第一部分,我们将了解攻击在过去几年中是如何演变的。 我想分享的一件事是,并非每次攻击都在增加。 对于一种类型的漏洞,ESET 发现利用尝试显着减少:
- BlueKeep 的检测(CVE-2019-0708) 远程桌面服务中的可蠕虫漏洞利用比 44 年的峰值下降了 2020%。我们将这一下降归因于受影响版本的 Windows 的修补实践加上网络外围的漏洞利用保护。
经常听到的关于计算机安全公司的抱怨之一是,他们花太多时间谈论安全性如何总是变得更糟而没有改善,而且任何好消息都是不常见的和短暂的。 其中一些批评是有道理的,但安全始终是一个持续的过程:新的威胁总是在出现。 在这种情况下,随着时间的推移,利用 BlueKeep 等漏洞的尝试减少似乎是个好消息。 RDP 仍然被广泛使用,这意味着攻击者将继续研究他们可以利用的漏洞。
为了使一类漏洞消失,任何易受攻击的东西都必须停止使用。 我记得上一次看到如此广泛的变化是在 7 年 Microsoft 发布 Windows 2009 时。Windows 7 禁用了对 AutoRun (AUTORUN.INF) 的支持。 微软随后将此更改反向移植到所有以前版本的 Windows,尽管并不完美 在第一时间. 自 95 年 Windows 1995 发布以来的一项功能,AutoRun 被严重滥用以传播蠕虫,例如 Conficker蠕虫. 在某一时刻,基于 AUTORUN.INF 的蠕虫占 ESET 软件遇到的威胁的近四分之一。 今天,他们占不到 十分之一 的检测。
与 AutoPlay 不同,RDP 仍然是 Windows 的一项常用功能,仅仅因为针对它的单个漏洞利用的使用减少了,并不意味着针对它的整体攻击在减少。 事实上,针对其漏洞的攻击已经大量增加,这带来了 BlueKeep 检测减少的另一种可能性:其他 RDP 漏洞利用可能更有效,以至于攻击者已经切换到它们。
从 2020 年初到 2021 年底的两年数据来看,似乎同意这一评估。 在此期间,ESET 遥测显示恶意 RDP 连接尝试大量增加。 跳跃有多大? 在 2020 年第一季度,我们看到了 1.97 亿次连接尝试。 到 2021 年第四季度,连接尝试次数跃升至 166.37 亿次,增幅超过 8,400%!
图 2. 在全球范围内检测到的恶意 RDP 连接尝试(来源:ESET 遥测)。 绝对数字四舍五入
显然,攻击者正在发现连接到组织计算机的价值,无论是进行间谍活动、植入勒索软件还是其他一些犯罪行为。 但也可以防御这些攻击。
修订文件的第二部分提供了有关防御 RDP 攻击的最新指南。 虽然此建议更适合那些可能不习惯加强网络的 IT 专业人员,但它包含的信息甚至可能对更有经验的员工有所帮助。
中小企业攻击的新数据
随着有关 RDP 攻击的数据集意外添加了来自尝试的服务器消息块 (SMB) 攻击的遥测数据。 鉴于这个额外的好处,我忍不住查看了这些数据,并觉得它足够完整和有趣,可以在论文中添加一个关于 SMB 攻击和防御的新部分。
SMB 可以被认为是 RDP 的配套协议,因为它允许在 RDP 会话期间远程访问文件、打印机和其他网络资源。 2017 年,EternalBlue (CVE-2017-0144) 蠕虫利用。 该漏洞利用的使用持续增长 2018, 2019, 并进入 2020,根据 ESET 遥测。
图 3. 全球范围内的 CVE -2017-0144 “EternalBlue”检测(来源:ESET 遥测)
EternalBlue 利用的漏洞仅存在于 SMBv1 中,该协议的版本可以追溯到 1990 年代。 然而,SMBv1 已在操作系统和联网设备中广泛实施了数十年,直到 2017 年微软才开始发布默认禁用 SMBv1 的 Windows 版本。
从 2020 年底到 2021 年,ESET 发现利用 EternalBlue 漏洞的尝试显着减少。 与 BlueKeep 一样,ESET 将这种检测减少归因于修补实践、改进了网络外围的保护以及减少了 SMBv1 的使用。
最后的思考
需要注意的是,本修订文件中提供的这些信息是从 ESET 的遥测中收集的。 任何时候使用威胁遥测数据时,都必须应用某些附加条件来解释它:
- 与 ESET 共享威胁遥测是可选的; 如果客户没有连接到 ESET 的 LiveGrid® 系统或与 ESET 共享匿名统计数据,那么我们将没有任何关于他们安装 ESET 软件时遇到的问题的数据。
- 恶意 RDP 和 SMB 活动的检测是通过 ESET 的几层保护来完成的 技术,包括 僵尸网络保护, 蛮力攻击保护, 网络攻击防护,等等。 并非所有 ESET 程序都有这些保护层。 例如,ESET NOD32 Antivirus 为家庭用户提供基本级别的恶意软件防护,但没有这些保护层。 它们出现在 ESET Internet Security 和 ESET Smart Security Premium 中,以及 ESET 面向企业用户的端点保护程序中。
- 尽管在本文的准备过程中没有使用它,但 ESET 威胁报告提供了地区或国家级别的地理数据。 GeoIP 检测是科学与艺术的结合,VPN 的使用和 IPv4 块所有权的快速变化等因素可能会对定位准确性产生影响。
- 同样,ESET 是该领域的众多捍卫者之一。 遥测告诉我们 ESET 软件的安装会阻止什么,但 ESET 无法了解其他安全产品的客户遇到了什么。
由于这些因素,攻击的绝对数量将高于我们可以从 ESET 的遥测中了解到的数量。 也就是说,我们相信我们的遥测是对整体情况的准确表示; 各种攻击检测的总体增加和减少百分比,以及 ESET 指出的攻击趋势,在整个安全行业中可能是相似的。
特别感谢我的同事 Bruce P. Burrell、Jakub Filip、Tomáš Foltýn、Rene Holt、Előd Kironský、Ondrej Kubovič、Gabrielle Ladouceur-Despins、Zuzana Pardubská、Linda Skrúcaná 和 Peter Stančík 对本文的修订提供的帮助。
Aryeh Goretsky,ZCSE,rMVP
ESET 杰出研究员
