A hackerek szinte bármilyen sebezhetőség kiaknázásának képessége a bűnüldözés egyik legnagyobb kihívása, és a kisvállalkozások számára. A Szövetségi Nyomozó Iroda nemrégiben figyelmeztetést adott a vállalkozásoknak és másoknak egy másik fenyegetésről. A hackerek elkezdték kihasználni a távoli asztali protokollt (RDP) a rosszindulatú tevékenységek gyakoribb végrehajtására.
Az FBI szerint a távoli asztali protokoll használata támadási vektorként 2016. közepe és késői évei között megnövekedett. Az RDP-támadások növekedését részben a távoli asztali protokoll hozzáférést biztosító sötét piacok hajtották végre. Ezek a rossz szereplők megtalálják a veszélyeztetett RDP-munkamenetek azonosítását és kiaknázását az interneten keresztül.
$config[code] not foundAzon kisvállalkozások számára, akik távfelügyeletet használnak az otthoni vagy irodai számítógépek vezérlésére, több éberségre van szükség, beleértve az erős jelszavak végrehajtását és rendszeres cseréjét.
Közleményében az FBI figyelmeztet: „Az RDP protokollt használó támadások nem igényelnek felhasználói bevitelt, így nehezen észlelhetők a behatolások.”
Mi az a Remote Desktop Protocol?
A távoli elérésre és kezelésre tervezett RDP egy Microsoft módszer az ügyféladatok, az eszközök, a virtuális asztali számítógépek és a távoli asztali protokoll terminálkiszolgáló közötti alkalmazásadat-átvitel egyszerűsítésére.
Egyszerűen fogalmazva, az RDP lehetővé teszi, hogy a számítógépet távolról irányítsa az erőforrások kezeléséhez és az adatokhoz való hozzáféréshez. Ez a funkció olyan kisvállalkozások számára fontos, amelyek nem használnak felhőalapú számítástechnikát és támaszkodnak a helyükön telepített számítógépekre vagy szerverekre.
Ez nem az első alkalom, hogy az RDP biztonsági kérdéseket vetett fel. A múltban a korai verziók sebezhetőséggel rendelkeztek, amelyek érzékenyek voltak a középső támadásra, ami a támadók jogosulatlan hozzáférését eredményezte.
2002 és 2017 között a Microsoft olyan frissítéseket adott ki, amelyek 24 fő biztonsági rést rögzítettek a Távoli asztali protokollhoz. Az új verzió biztonságosabb, de az FBI bejelentése rámutat arra, hogy a hackerek még mindig támadási vektorként használják.
Távoli asztali protokoll Hackelés: A biztonsági rések
Az FBI számos sebezhetőséget azonosított - de ez gyenge jelszavakkal kezdődik.
Az ügynökség azt mondja, ha szótárszavakat használ, és nem tartalmaz nagy- és kisbetűket, számokat és speciális karaktereket, a jelszó érzékeny a brutális erőkre és a szótárakra.
A Credential Security Support Provider protokollal (CredSSP) használt elavult távoli asztali protokoll szintén sérülékenységet jelent. A CredSSP olyan alkalmazás, amely a felhasználó hitelesítő adatait átadja a klienstől a célkiszolgálónak távoli hitelesítés céljából. Egy elavult RDP lehetővé teszi az ember közepén fellépő támadások elindítását.
Más biztonsági rések közé tartozik az alapértelmezett Remote Desktop Protocol port (TCP 3389) korlátlan hozzáférésének engedélyezése és a korlátlan bejelentkezési kísérletek engedélyezése.
Távoli asztali protokoll Hackelés: fenyegetések
Néhány példa az FBI által felsorolt veszélyekre:
CrySiS Ransomware: A CrySIS ransomware elsődleges célja az amerikai vállalkozásoknak a nyitott RDP-portokon keresztül történő használata, a brutális erők és a szótárak támadásainak használatával, hogy jogosulatlan távoli hozzáférést érjenek el. A CrySiS ezután elveszi a ransomware-t a készülékre és végrehajtja. A fenyegető szereplők a Bitcoinban fizetnek fizetést egy dekódolási kulcsért.
CryptON Ransomware: A CryptON ransomware brutális erő támadásokat használ, hogy hozzáférjenek az RDP-munkamenetekhez, majd lehetővé teszi, hogy a fenyegetés szereplője manuálisan hajtsa végre a rosszindulatú programokat a veszélyeztetett gépen. A Cyber szereplők általában Bitcoint kérnek a visszafejtés irányában.
Samsam Ransomware: A Samsam ransomware számos kihasználtságot alkalmaz, beleértve az RDP-kompatibilis gépeket támadó támadásokat. 2018 júliusában Samsam fenyegeti a szereplőket, hogy egy brutális erővel támadják meg az RDP bejelentkezési hitelesítő adatait, hogy beszivárogjanak egy egészségügyi cégbe. A ransomware képes volt több ezer gépet titkosítani a felismerés előtt.
Sötét webcsere: A fenyegetés szereplői lopott RDP bejelentkezési hitelesítő adatokat vásárolnak és értékesítenek a sötét weben. A hitelesítő adatok értékét a veszélyeztetett gép helyzete, a munkamenetben használt szoftver határozza meg, és minden további attribútumot, amely növeli az ellopott erőforrások használhatóságát.
Távoli asztali protokoll Hackelés: Hogyan védheti meg magát?
Fontos megjegyezni, hogy bármikor megpróbál valamit távolról elérni. És mivel a Távoli asztali protokoll teljesen ellenőrzi a rendszert, szabályoznia kell, felügyelnie és kezelnie kell a hozzáférést.
Az alábbi legjobb gyakorlatok végrehajtásával az FBI és az Egyesült Államok Belbiztonsági Minisztériuma azt állítja, hogy jobb esélye van az RDP-alapú támadások ellen.
- Engedélyezze az erős jelszavakat és a számlakezelési szabályokat, hogy megvédje a nyers erő támadásokat.
- Használjon két faktorú hitelesítést.
- Rendszer- és szoftverfrissítések rendszeres alkalmazása.
- Megbízható biztonsági mentési stratégiája van egy erős helyreállítási rendszerrel.
- A naplózás engedélyezése és a naplózási mechanizmusok biztosítása a távoli asztali protokoll bejelentkezésének rögzítéséhez. Tartsa a naplókat legalább 90 napig. Ezzel egyidejűleg nézze át a bejelentkezéseket, hogy csak azok, akik hozzáféréssel rendelkeznek, használják őket.
Itt megtekintheti a többi ajánlást.
Az adatok megsértésének főcímei rendszeresen megjelennek a hírekben, és a nagy létszámú szervezetek számára történik, amelyek látszólag korlátlan erőforrásokkal rendelkeznek. Bár lehet, hogy lehetetlenné válik, hogy a kisvállalkozást megvédje az összes számítógépes fenyegetéstől, akkor minimálisra csökkentheti kockázatait és felelősségét, ha a megfelelő protokollok vannak érvényben, szigorú irányítással minden fél számára.
Kép: FBI