Πόσο καιρό χρειάζεται μια επίθεση σε RDP-enabled υπολογιστές; Σε μερικές περιπτώσεις, λίγα λεπτά. Στις περισσότερες, λιγότερο από 24 ώρες.
Το πρόβλημα με το RDP (Remote Desktop Protocol)
“Τα τελευταία χρόνια, οι εγκληματίες που αναπτύσσουν στοχευμένα ransomware όπως BitPaymer, Ryuk, Matrix και SamSam εγκατέλειψαν σχεδόν εντελώς άλλες hacking μεθόδους υπέρ της χρήσης του RDP”, λένε οι ερευνητές της Sophos, Matt Boddy, Ben Jones και Mark Stockley.
Οι hackers έχουν την επιλογή να σπάσουν τους κωδικούς πρόσβασης χρησιμοποιώντας εργαλεία όπως το NLBrute ή να αγοράσουν σπασμένους κωδικούς πρόσβασης από άλλους ή λογαριασμούς σε παραβιασμένους διακομιστές RDP.
Για να αποκτήσετε μια ιδέα για το πόσες επιθέσεις αντιμετωπίζουν καθημερινά οι διακομιστές RDP, έχουν δημιουργηθεί 10 γεωγραφικά διασκορπισμένες εκδόσεις Amazon EC2 που εκτελούν Windows Server 2019, με ενεργοποιημένο το RDP και είναι ασφαλισμένες με έναν “απαγορευτικά ισχυρό κωδικό πρόσβασης”.
Ένα από αυτά δέχτηκε RDP brute-forcing επίθεση για ένα λεπτό και 24 δευτερόλεπτα. Συνολικά, κατά τη διάρκεια του μήνα καταγράφηκαν 4.298.513 αποτυχημένες προσπάθειες σύνδεσης.
Ορισμένοι επιτιθέμενοι προσπάθησαν να επιτεθούν σε λογαριασμούς διαχειριστή ενώ άλλοι αρκέστηκαν σε λογαριασμούς χαμηλού προνομίου, με την ελπίδα ότι οι κωδικοί πρόσβασης θα ήταν ευκολότερο να αποκαλυφθούν. Σε μια προσπάθεια να διατηρήσουν σε χαμηλό προφίλ τις δραστηριότητές τους, κλιμάκωσαν αργά τις επιθέσεις τους περιορίζοντας ή ενισχύοντας ανάλογα την περίπτωση.
Ένα άλλο ενδιαφέρον πράγμα που έδειξε αυτή η έρευνα: οι επιτιθέμενοι δεν βασίζονται στο Shodan – τη μηχανή αναζήτησης που απαριθμεί συσκευές συνδεδεμένες στο Διαδίκτυο – για να προσδιορίσουν πιθανούς στόχους.
Μείωση του DP password brute-forcing κινδύνου
Οι RDP-based Remote Desktop υπηρεσίες είναι μια χρήσιμη τεχνολογία που επιτρέπει στους διαχειριστές επιχειρήσεων να προσεγγίζουν και να αλληλεπιδρούν με υπολογιστές σε απομακρυσμένα δίκτυα ή στο cloud.
Πριν από δύο μήνες, η Microsoft προειδοποίησε για το CVE-2019-0708 (γνωστό και ως BlueKeep), ένα wormable μη εξουσιοδοτημένο remote code execution flaw στο RDS, το οποίο αναμενόταν να αξιοποιηθεί ευρέως.
Αν και οι εμπειρογνώμονες στον κυβερνοχώρο πιστεύουν ότι οι hacking ομάδες που χρηματοδοτούνται από το κράτος χρησιμοποιούν ήδη το BlueKeep για ήσυχες εισβολές, δεν έχουμε ακόμα κάποιο μαζικό exploitation.
Παρόλα αυτά, οι ανεπαρκώς ασφαλείς διακομιστές RDP αντιπροσωπεύουν έναν εύκολο στόχο για τους πεινασμένους κυβερνοεγκληματίες, οι οποίοι συχνά τους χρησιμοποιούν για να διαδώσουν κακόβουλο λογισμικό (συνήθως ransomware) σε όλο το δίκτυο-στόχο.
Παρόλο που η λύση για το RDP password brute-forcing είναι τόσο εύκολη όσο η επιλογή ενός ισχυρού και μακρού κωδικού πρόσβασης, οι ερευνητές είναι σκεπτικοί για το γεγονός αυτό.
- Η Microsoft θα μπορούσε να θέσει ως υποχρεωτικό μέτρο το two-factor authentication ή να μεταβεί σε άλλη μορφή ελέγχου ταυτότητας (π.χ. public key authentication).
- Οι Cloud computing προμηθευτές θα μπορούσαν να προσφέρουν διακομιστές με μια εναλλακτική μορφή απομακρυσμένης διαχείρισης ή ελέγχου ταυτότητας.
- Αλλά μέχρι να συμβεί αυτό, οι διαχειριστές μπορούν να μετριάσουν τον κίνδυνο επιτρέποντας τον έλεγχο ταυτότητας πολλαπλών παραγόντων.
- Τέλος, εάν το RDP δεν είναι απαραίτητο, πρέπει να είναι απενεργοποιημένο. Όταν απαιτείται, θα πρέπει να έχετε πρόσβαση μόνο μέσω ενός εικονικού ιδιωτικού δικτύου (VPN).
