FBI varuje, že hackeri využívajú protokol Remote Desktop Protocol (RDP)

Obsah:

Anonim

Možnosť hackerov využívať takmer akúkoľvek zraniteľnosť predstavuje jednu z najväčších výziev pre vynútiteľnosť práva - a pre malé podniky. Federálny úrad vyšetrovania nedávno varoval podniky a ďalších ľudí pred ďalšou hrozbou. Hackeri začali využívať Protokol vzdialenej pracovnej plochy (Remote Desktop Protocol - RDP) na vykonávanie škodlivých aktivít s väčšou frekvenciou.

Podľa FBI sa používanie protokolu Remote Desktop Protocol ako útokového vektora zvýšilo od polovice do konca roka 2016. Nárast útokov RDP bol čiastočne spôsobený tmavými trhmi predávajúcimi protokol Remote Desktop Protocol. Títo zlý aktéri našli spôsoby, ako identifikovať a zneužívať zraniteľné zasadnutia PRV cez internet.

$config[code] not found

Pre malé podniky, ktoré používajú službu RDP na vzdialené ovládanie svojich domácich alebo kancelárskych počítačov, je potrebná väčšia ostražitosť vrátane zavedenia silných hesiel a ich pravidelného menenia.

FBI vo svojom oznámení varuje: "Útoky používajúce protokol RDP nevyžadujú vstup od užívateľa, takže je ťažké zistiť narušenie."

Čo je protokol vzdialenej pracovnej plochy?

Navrhnutý pre vzdialený prístup a správu, RDP je metóda spoločnosti Microsoft na zjednodušenie prenosu aplikačných dát medzi klientmi, zariadeniami, virtuálnymi desktopmi a terminálovým serverom protokolu Remote Desktop Protocol.

Jednoducho povedané, služba RDP vám umožňuje vzdialene ovládať počítač, aby ste mohli spravovať svoje zdroje a pristupovať k údajom. Táto funkcia je dôležitá pre malé firmy, ktoré nepoužívajú cloud computing a spoliehajú sa na počítače alebo servery inštalované v priestoroch.

Nie je to prvýkrát, čo PRV predstavila bezpečnostné problémy. V minulosti mali skoré verzie zraniteľné miesta, ktoré spôsobili, že sú náchylné na útok typu "man-in-the-middle", ktorý umožňuje útočníkom neoprávnený prístup.

V rokoch 2002 až 2017 Microsoft vydal aktualizácie, ktoré vymedzili 24 hlavných zraniteľných miest súvisiacich s protokolom Vzdialená plocha. Nová verzia je bezpečnejšia, ale oznámenie FBI poukazuje na to, že hackeri ju stále používajú ako vektor pre útoky.

Hackovanie protokolu protokolu vzdialenej plochy: Zraniteľné miesta

FBI identifikovala niekoľko zraniteľností - ale všetko začína so slabými heslami.

Agentúra hovorí, že ak používate slová v slovníku a nezahŕňate kombináciu veľkých a malých písmen, čísiel a špeciálnych znakov, vaše heslo je citlivé na brutálne útoky a slovníky.

Zastarané protokoly o zastaraných protokoloch Remote Desktop Protocol používajúcich protokol Credential Security Support Provider (CredSSP). CredSSP je aplikácia, ktorá deleguje poverenia používateľa z klienta na cieľový server pre vzdialené overovanie. Zastaralý RDP umožňuje potenciálne spustiť útoky typu "man-in-the-middle".

Medzi ďalšie zraniteľnosti patrí povolenie neobmedzeného prístupu k predvolenému portu protokolu Vzdialená plocha (TCP 3389) a umožnenie neobmedzených pokusov o prihlásenie.

Hackovanie protokolom Vzdialená plocha: Hrozby

Toto sú niektoré príklady hrozieb uvedených FBI:

CrySiS Ransomware: CrySIS ransomware sa primárne zameriava na americké firmy prostredníctvom otvorených portov RDP, pričom používa útoky brute-force a slovníka na získanie neoprávneného vzdialeného prístupu. CrySiS potom odovzdá svoj ransomware na zariadenie a vykoná ho. Hraniční aktéri požadujú platbu v spoločnosti Bitcoin výmenou za dešifrovací kľúč.

CryptON Ransomware: CryptON ransomware využíva útoky hrubej sily na získanie prístupu k RDP reláciám a potom umožňuje ohrozenému hercovi ručne spustiť škodlivé programy na kompromitovanom počítači. Cyber ​​herci zvyčajne žiadajú Bitcoin výmenou za dešifrovacie pokyny.

Samsam Ransomware: Samsam ransomware využíva širokú škálu zneužívaní, vrátane tých, ktoré útočia na zariadenia s podporou RDP, aby vykonávali útoky hrubou silou. V júli 2018 hráči hrozieb spoločnosti Samsam použili útok na hrubou silu na prihlasovacie poverenia služby RDP, aby sa dostali do zdravotnej spoločnosti. Ransomware bol schopný šifrovať tisíce strojov pred detekciou.

Dark Web Exchange: Hraniční herci kupujú a predávajú ukradnuté prihlasovacie poverenia RDP na Dark Web. Hodnota poverení je určená umiestnením kompromitovaného počítača, softvérom používaným v relácii a akýmikoľvek ďalšími atribútmi, ktoré zvyšujú použiteľnosť ukradnutých zdrojov.

Protokol vzdialenej pracovnej plochy Hacking: Ako sa môžete chrániť?

Je dôležité si pamätať, že pokaždé, keď sa pokúsite získať prístup k niečomu vzdialene, existuje riziko. A pretože protokol Vzdialená plocha plne ovláda systém, mali by ste regulovať, monitorovať a riadiť, kto má úzky prístup.

Nasledujúcimi osvedčenými postupmi FBI a Ministerstvo vnútornej bezpečnosti USA tvrdia, že máte lepšiu šancu proti útokom založeným na RDP.

  • Povoliť silné heslá a pravidlá uzamknutia účtu, aby ste sa mohli brániť proti útokom na hrubou silou.
  • Použite dvojfaktorové overovanie.
  • Pravidelne používajte aktualizácie systému a softvéru.
  • Získajte spoľahlivú stratégiu zálohovania so silným systémom obnovy.
  • Povolenie protokolovania a zabezpečenie mechanizmov záznamu na zachytenie prihlasovacích údajov protokolu vzdialenej pracovnej plochy. Záznamy uchovávajte minimálne 90 dní. Súčasne skontrolujte prihlasovacie údaje, aby ste zabezpečili, že ich používajú iba tí, ktorí majú prístup.

Môžete sa pozrieť na ostatné odporúčania tu.

Nadpisy o narušeniach údajov sa pravidelne dostávajú do správ a deje sa veľkým organizáciám s zdanlivo neobmedzenými zdrojmi. Zatiaľ čo sa môže zdať nemožné chrániť váš malý podnik pred všetkými počítačovými hrozbami tam, môžete minimalizovať vaše riziko a zodpovednosť, ak máte správne protokoly na mieste so prísnym riadením pre všetky strany.

Obrázok: FBI