Hakerių gebėjimas išnaudoti beveik bet kokį pažeidžiamumą yra vienas didžiausių iššūkių teisėsaugai - ir mažosioms įmonėms. Federalinis tyrimų biuras neseniai įspėjo įmones ir kitus apie kitą grėsmę. Hakeriai pradėjo naudoti nuotolinio darbalaukio protokolą (angl. Remote Desktop Protocol - RDP), kad dažniau atliktų kenkėjišką veiklą.
Pasak FBI, nuo 2016 m. Vidurio iki pabaigos padidėjo nuotolinio darbalaukio protokolo naudojimas kaip atakos vektorius. Iš dalies KPP atakų padidėjimą lėmė tamsios rinkos, leidžiančios naudotis nuotolinio darbalaukio protokolo prieiga. Šie blogi veikėjai rado būdų, kaip nustatyti ir naudoti pažeidžiamas KPP sesijas internetu.
$config[code] not foundMažoms įmonėms, kurios nuotoliniu būdu valdo KPP savo namų ar biuro kompiuteriams valdyti, reikia daugiau budrumo, įskaitant tvirtų slaptažodžių įgyvendinimą ir reguliarų jų keitimą.
Savo pranešime FBI įspėja, kad „atakos naudojant KPP protokolą nereikalauja vartotojo įvesties, todėl įsilaužimus sunku aptikti“.
Kas yra nuotolinio darbalaukio protokolas?
Suprojektuotas nuotolinei prieigai ir valdymui, KPP yra „Microsoft“ metodas, leidžiantis supaprastinti taikomųjų duomenų perdavimą tarp klientų, įrenginių, virtualių stalinių kompiuterių ir nuotolinio darbalaukio protokolo terminalo serverio.
Paprasčiau tariant, RDP leidžia valdyti kompiuterį nuotoliniu būdu, kad galėtumėte valdyti išteklius ir pasiekti duomenis. Ši funkcija yra svarbi mažoms įmonėms, kurios nenaudoja debesų kompiuterijos ir naudojasi savo kompiuteriais ar serveriais, įrengtais patalpose.
Tai nėra pirmas kartas, kai KPP pateikė saugumo klausimus. Anksčiau ankstyvosiose versijose buvo pažeidžiamumų, dėl kurių jie buvo jautrūs vidurio atakai, leidžiančiai užpuolėjams neleistinai naudotis.
Nuo 2002 m. Iki 2017 m. „Microsoft“ išleido atnaujinimus, nustatančius 24 pagrindinius pažeidimus, susijusius su „Remote Desktop Protocol“. Nauja versija yra saugesnė, tačiau FBI skelbime nurodoma, kad įsilaužėliai vis dar naudojasi kaip išpuolių vektoriumi.
Nuotolinio darbalaukio protokolo įsilaužimas: pažeidžiamumas
FBI nustatė keletą pažeidžiamumų - bet viskas prasideda nuo silpnų slaptažodžių.
Agentūra sako, kad naudojatės žodynų žodžiais ir nenaudojate didžiųjų ir mažųjų raidžių, skaičių ir specialių simbolių derinio. Jūsų slaptažodis yra pažeidžiamas brutaliaisiais ir žodynų atakomis.
Pasenęs nuotolinio darbalaukio protokolas, naudojant Credential Security Support Provider protokolą (CredSSP), taip pat kelia pažeidžiamumą. „CredSSP“ yra programa, kuri perkelia vartotojo kredencialus iš kliento į tikslinį serverį nuotoliniam autentifikavimui. Pasenusi KPP leidžia potencialiai paleisti vidurio atakas.
Kiti pažeidžiamumai yra tai, kad leidžiama neribotai patekti į numatytąjį nuotolinio darbalaukio protokolo prievadą (TCP 3389) ir leisti be apribojimų prisijungti.
Nuotolinio darbalaukio protokolo įsilaužimas: grėsmės
Tai yra keletas FBI išvardytų grėsmių pavyzdžių:
CrySiS Ransomware: „CrySIS ransomware“ pirmiausia nukreipia į JAV įmones per atvirus KPP uostus, naudodama tiek brutalaus, tiek žodyno atakas, kad gautų neteisėtą nuotolinę prieigą. Tada CrySiS nukreipia savo įrenginį į įrenginį ir jį atlieka. Grėsmės dalyviai reikalauja sumokėti Bitcoin mainais už iššifravimo raktą.
CryptON Ransomware: „CryptON ransomware“ naudoja brutalinių jėgų atakas, kad galėtų gauti prieigą prie KPP sesijų, o tada grėsmės veikėjas gali rankiniu būdu atlikti kenksmingas programas kompromiso metu. „Cyber“ dalyviai paprastai prašo „Bitcoin“ mainais už iššifravimo kryptis.
Samsam Ransomware: „Samsam ransomware“ naudoja platų išnaudojimo spektrą, įskaitant tuos, kurie atakuoja su KPP veikiančiomis mašinomis, kad atliktų brutalinių jėgų išpuolius. 2018 m. Liepos mėn. „Samsam“ grėsmė dalyviams naudojo brutalią ataką prieš KPP prisijungimo duomenis, kad įsiskverbtų į sveikatos priežiūros įmonę. „Ransomware“ sugebėjo užfiksuoti tūkstančius mašinų prieš aptikimą.
Tamsiai žiniatinklio mainai: Grėsmės dalyviai perka ir parduoda pavogtus KPP prisijungimo duomenis „Dark Web“. Įgaliojimų vertę lemia pavojus pažeistos mašinos vieta, sesijoje naudojama programinė įranga ir bet kokie papildomi atributai, kurie padidina pavogtų išteklių naudojimą.
Nuotolinio darbalaukio protokolo įsilaužimas: kaip galite apsaugoti save?
Svarbu prisiminti bet kada, kai bandote pasiekti kažką nuotoliniu būdu, yra rizika. Ir kadangi nuotolinio darbalaukio protokolas visiškai kontroliuoja sistemą, turėtumėte reguliuoti, stebėti ir valdyti asmenis, kurie atidžiai naudojasi.
Įgyvendindamos šias geriausias praktikas, FTB ir JAV Tėvynės saugumo departamentas sako, kad turite geresnes galimybes prieš RDP pagrįstus išpuolius.
- Įgalinti stiprius slaptažodžius ir sąskaitų blokavimo politiką, siekiant apsaugoti nuo brutalių jėgų atakų.
- Naudokite dviejų veiksnių autentifikavimą.
- Reguliariai taikyti sistemos ir programinės įrangos atnaujinimus.
- Turėkite patikimą atsarginę strategiją su stipria atkūrimo sistema.
- Įgalinti registravimą ir užtikrinti registravimo mechanizmus nuotolinio darbalaukio protokolo prisijungimui fiksuoti. Laikykite žurnalus mažiausiai 90 dienų. Tuo pačiu metu peržiūrėkite prisijungimus, kad įsitikintumėte, jog tik tie, kurie turi prieigą, juos naudoja.
Čia galite peržiūrėti kitas rekomendacijas.
Duomenų pažeidimų antraštės yra reguliariai naujienos, ir tai vyksta didelėms organizacijoms, turinčioms neribotą išteklių. Nors gali atrodyti neįmanoma apsaugoti savo smulkiojo verslo nuo visų kibernetinių grėsmių, galite sumažinti savo riziką ir atsakomybę, jei turite tinkamus protokolus su griežta visų šalių valdymu.
Vaizdas: FBI
