Здатність хакерів використовувати майже будь-яку вразливість створює одну з найбільших викликів для правоохоронних органів - і для малого бізнесу. Федеральне бюро розслідувань нещодавно видало попередження підприємствам та іншим про іншу загрозу. Хакери почали використовувати протокол віддаленого робочого столу (RDP) для здійснення зловмисних дій з більшою частотою.
За даними ФБР, використання протоколу віддаленого робочого столу як вектора атаки збільшилося з середини до кінця 2016 року. Зростання атак RDP частково було зумовлене темними ринками, які продають протокол доступу до віддаленого робочого столу. Ці погані суб'єкти знайшли способи виявлення та використання вразливих сесій RDP через Інтернет.
$config[code] not foundДля малих підприємств, які використовують RDP для віддаленого управління комп'ютерами вдома або офісу, потрібна більша пильність, включаючи впровадження надійних паролів та їх регулярне змінення.
У своєму оголошенні ФБР попереджає: «Атаки, що використовують протокол RDP, не вимагають вводу користувачем, що ускладнює виявлення вторгнень».
Що таке протокол віддаленого робочого стола?
Призначений для віддаленого доступу та управління, RDP є методом Microsoft для спрощення передачі даних додатків між клієнтськими користувачами, пристроями, віртуальними робочими столами та термінальним сервером протоколу віддаленого робочого столу.
Простіше кажучи, RDP дозволяє дистанційно керувати комп'ютером для керування ресурсами та доступу до даних. Ця функція є важливою для малих підприємств, які не використовують хмарні обчислення та використовують свої комп'ютери чи сервери, встановлені в приміщенні.
Це не перший випадок, коли РДП представила питання безпеки. У минулому ранні версії мали вразливості, що робило їх сприйнятливими до атаки "людина в середині", що дало нападникам несанкціонований доступ.
У період з 2002 по 2017 рік корпорація Майкрософт випустила оновлення, в яких було виправлено 24 основні вразливості, пов'язані з протоколом віддаленого робочого столу. Нова версія більш безпечна, але оголошення ФБР вказує на те, що хакери все ще використовують його як вектор для атак.
Зловживання протоколом віддаленого робочого столу: Уразливості
ФБР визначила кілька уразливостей - але все починається зі слабких паролів.
У агентстві повідомляється, що якщо ви використовуєте словники словника і не вказуєте комбінацію великих і малих літер, цифр і спеціальних символів, ваш пароль уразливий до грубої дії та атак словника.
Застарілий протокол віддаленого робочого стола з використанням протоколу CredSSP також надає вразливості. CredSSP - це програма, яка делегує облікові дані користувача від клієнта до цільового сервера для віддаленої аутентифікації. Застарілий RDP дає змогу потенційно запустити атаки «людина в середині».
До інших вразливостей належать надання необмеженого доступу до стандартного порту протоколу віддаленого робочого столу (TCP 3389) і дозволу необмежених спроб входу.
Зловживання протоколом віддаленого робочого стола: загрози
Ось деякі приклади загроз, перелічених ФБР:
CrySiS Ransomware: CrySIS вимагає в першу чергу від американських компаній через відкриті порти RDP, використовуючи як атаку з використанням грубої сили, так і словник, щоб отримати несанкціонований віддалений доступ. Після цього CrySiS скидає свій вимога на пристрій і виконує його. Учасники загрози вимагають оплати в Bitcoin в обмін на ключ дешифрування.
CryptON Ransomware: CryptON-викупник використовує атаки з використанням грубої сили, щоб отримати доступ до RDP-сесій, а потім дозволяє оператору загрози вручну виконувати шкідливі програми на компрометованій машині. Кібер-учасники зазвичай просять Bitcoin в обмін на напрямки дешифрування.
Samsam Ransomware: Самсам-викупник використовує широкий спектр експлуатаційних навичок, включаючи атакуючі машини з підтримкою RDP, для виконання грубих атак. У липні 2018 року актори загрози Самсама застосували грубої атаки на реєстраційні дані RDP для проникнення в медичну компанію. Перед виявленням виявилися спроби шифрувати тисячі машин.
Темна веб-біржа: Загроза акторів купувати і продавати вкрадені реєстраційні дані RDP на Dark Web. Значення облікових даних визначається місцем розташування скомпрометованої машини, програмного забезпечення, що використовується в сесії, і будь-якими додатковими атрибутами, які збільшують зручність використання вкрадених ресурсів.
Зловживання протоколом віддаленого робочого столу: як можна захистити себе?
Важливо пам'ятати, коли ви намагаєтеся отримати доступ до чогось віддалено, є ризик. Оскільки протокол віддаленого робочого столу повністю керує системою, ви повинні регулювати, контролювати і керувати тим, хто має доступ в тісній формі.
Реалізуючи наступні найкращі практики, ФБР та Департамент внутрішньої безпеки США стверджують, що у вас є більше шансів проти атак на основі RDP.
- Увімкніть надійні паролі та політику блокування облікового запису, щоб захищати їх від переборів.
- Використовуйте двофакторну аутентифікацію.
- Регулярно застосовувати оновлення системи та програмного забезпечення.
- Майте надійну стратегію резервного копіювання з сильною системою відновлення.
- Увімкніть реєстрацію та забезпечіть механізми реєстрації для зйомки логінів протоколу віддаленого робочого столу. Тримайте журнали протягом мінімум 90 днів. У той же час перегляньте логіни, щоб забезпечити їх використання лише особам, які мають доступ.
Ви можете ознайомитися з рештою рекомендацій тут.
Заголовки розривів даних регулярно з'являються в новинах, і це відбувається з великими організаціями, які мають необмежені ресурси. Хоча це може здатися неможливим, щоб захистити ваш малий бізнес від усіх кібер-загроз, ви можете звести до мінімуму ризик і відповідальність, якщо у вас є правильні протоколи з жорстким управлінням для всіх сторін.
Зображення: ФБР
