Защита RDP от Ransomware
Как защитить RDP от вымогателей?
Распространение удалённой работы, аутсорсинга и облачных технологий стирает географические границы, позволяя малым и средним предприятиям задействовать обширный и разнообразный кадровый резерв, полагаться на команды внешней технической поддержки, использующие протокол удалённого рабочего стола (RDP) для диагностики и устранения сетевых проблем. RDP используется сетевыми администраторами для удалённого доступа к виртуальным рабочим столам и приложениям, обеспечивает сетевую связь между терминальным сервером и его клиентом.
Но использование RDP сопряжено с определённым уровнем риска, т.е. неохраняемые удалённые рабочие столы являются любимой точкой входа среди хакеров. К сожалению, многие компании подвергаются риску, не соблюдая следующих простейших мер безопасности.
Вот они:
1. Использование надёжных имён пользователей и паролей.
2. Использование ограничений доступа по протоколу RDP.
3. Использование политики блокировки учётных записей.
4. Использование RDP-шлюза для разделения и контроля доступа.
5. Использование нового RDP-порта вместо стандартного TCP 3389.
В 2020 году организации во всех странах мира стали больше использовать протокол удалённого рабочего стола (RDP) для поддержания непрерывности бизнеса при соблюдении социального дистанцирования.
Однако быстрый переход к удалённой работе также предоставил уникальную возможность группам хакеров-вымогателей. Злоумышленники давно используют уязвимости RDP для своих атак и вымогательства и знают, что многие организации не смогут безопасно внедрить RDP во время массового перехода к работе из дома, потому они продолжают безнаказанно использовать его для новых внедрений и компрометаций. Согласно отчётам McAfee и Atlas VPN количество подключенных к Интернету RDP-портов выросло от 3 миллионов в январе 2020 года до более 4,5 миллионов в марте, в конце 2020 это число будет только расти. А если сравнить данные февраля-марта и марта-апреля 2020, то на фоне пандемии Covid-19 количество атак RDP в США выросло в 3,3 раза. С 10 марта до 15 апреля 2020 года хакеры атаковали США, Испанию, Италию, Германию, Францию, Россию и Китай в общей сложности более 148 миллионов раз.
Что такое RDP-атака методом грубой силы? Как защититься от этой атаки?
Почему злоумышленники используют RDP для развертывания вредоносных программ?
Какие существуют передовые методы предотвращения угроз на основе RDP?
Представьте себе грабителя со связкой, на которой сотни тысяч ключей. Преступник использует ключи один за другим, пытаясь открыть вашу входную дверь. Чем лучше ваш замок, тем больше времени ему потребуется, чтобы попасть внутрь. Однако в итоге он подберет нужный ключ, и как только окажется внутри, то сможет делать то, что захочет — отключить сигнализацию, украсть драгоценности, совершить вандализм или сменить замки и потребовать от вас выкуп, чтобы вернуть вам доступ. Это основная схема простой RDP-атаки.
Преступники, получившие доступ администратора, тоже могут делать всё, что захотят, например, отключить антивирусное ПО, запустить и установить вредоносные программы, украсть данные компании, зашифровать файлы и многое другое. Такой уровень сбоев может повлиять на репутацию, финансы и повседневные операции компании. Хотя некоторые киберпреступники просто хотят создать хаос, многие запускают RDP-атаки с заданными целями, например, используют программы-вымогатели, кейлоггинг, нарушают целостность сети.
При RDP-атаке методом грубой силы хакеры используют сетевые сканеры, например, Masscan, Zmap (на выделенном сервере такой сканер может просканировать весь Интернет за 5-6 минут), для определения диапазонов IP- и TCP-портов, используемых серверами RDP. После отслеживания одного из них хакеры пытаются получить доступ к машине (обычно в качестве администратора) с помощью инструментов грубой силы, которые автоматически пытаются войти в систему снова и снова, используя бесчисленные комбинации имени пользователя и пароля. В это время производительность сервера может снизиться, поскольку атаки потребляют системные ресурсы. После часов, дней или даже недель проб и ошибок хакеры могут в итоге угадать имя пользователя и пароль, и получить доступ к серверу. Как только они окажутся внутри, потенциальный ущерб будет просто катастрофическим.
К сожалению то, что должно было облегчить работу системным администраторам, облегчило "работу" злоумышленникам.
Множество инцидентов и успешных атак вымогателей в основном связаны со взломом систем RDP, открытых в Интернет.
Процесс подобной удалённой атаки выглядит примерно так:
1) Сканируются открытые RDP-порты: злоумышленник использует бесплатные, простые в использовании инструменты сканирования портов, такие как Shodan, Masscan для сканирования всего Интернета на наличие открытых RDP-портов.
2) Выполняется попытка входа в систему: злоумышленник пытается получить доступ к системе (обычно в качестве администратора), используя украденные учетные данные, которые можно приобрести на черном рынке, или инструменты грубой силы, которые систематически пытаются войти в систему, используя все возможные комбинации символов, пока не будут найдены правильные имя пользователя и пароль.
3) Отключается система безопасности: злоумышленник, получив доступ к целевой системе, пытается сделать сеть наиболее небезопасной. В зависимости от привилегий скомпрометированной учетной записи, он попытается отключить антивирусное ПО, удалить резервные копие и изменить параметры конфигурации, которые обычно заблокированы.
4) Доставляется полезная нагрузка: как только злоумышленник отключит систему безопасности и сеть станет достаточно уязвимой, доставляется так называемая "полезная нагрузка". Это может быть установка и распределение по сети программ-вымогателей, развертывание инфостилеров и кейлоггеров, использование скомпрометированных машин для распространения спама, кража конфиденциальных данных, установка бэкдоров, которые можно использовать для будущих атак и прочие "дела".
5) Требуется выкуп, если была установлена программа-вымогатель (шифровальщик, фейк-шифровальщик, zip/rar/7z-вымогатель). На этом сайте представлено более 1600 программ-вымогателей со множеством вариантов, модификаций и ответвлений от первоначальных исходников.
Это самый распространённый пример, в реальности процесс удалённой атаки может быть гораздо шире и изощрённее.
Лучшие практики защиты RDP
Необходимо запомнить, что RDP нужно всегда отключать, если он не нужен для постоянной работы. Для организаций, которым RDP необходим, помогут следующие передовые практики защиты RDP от атак методом грубой силы.
1. Используйте VPN. Серьезные риски безопасности возникают, когда RDP открыт для Интернета. Вместо этого организациям следует использовать VPN, чтобы предоставить безопасный доступ к корпоративной сети только своим удалённым пользователям, не подвергая свои системы доступу ко всему Интернету.
2. Используйте надёжные пароли. Большинство атак на основе RDP основаны на взломе слабых учётных данных. Организации должны обеспечить использование надёжных паролей на всех клиентских и серверных RDP-терминалах. Пароли должны быть длинными, уникальными и случайными.
3. Используйте многофакторную аутентификацию (MFA). Даже самые надёжные пароли могут быть взломаны. MFA не панацея, но она предлагает дополнительный уровень защиты, требуя от пользователей предоставления как минимум двух форм аутентификации (например, одноразового кода или биометрического уведомления) для входа в сеанс RDP.
4. Используйте брандмауэр для ограничения доступа. Брандмауэр можно использовать для ограничения доступа RDP к определенному IP-адресу или диапазону IP-адресов.
5. Используйте шлюз удалённых рабочих столов. Сервер шлюза удалённых рабочих столов — это функция, доступная во всех версиях Windows Server, начиная с Windows Server 2008, полезна для упрощения развертывания RDP и управления безопасностью.
6. Блокируйте IP-адреса с неудачными попытками входа. Большое количество неудачных попыток входа в систему за короткий промежуток времени указывает на атаку методом грубой силы. Политики учетных записей Windows можно использовать для определения и ограничения количества попыток входа пользователя в RDP.
7. Ограничьте удалённый доступ. Хотя все администраторы могут использовать RDP по умолчанию, более вероятно, что многим из них не нужен удалённый доступ для выполнения своей работы. Организации всегда должны соблюдать принцип наименьших привилегий и разрешать доступ по RDP только тем, кому действительно это нужно для выполения работы.
8. Измените порт прослушивания RDP. Злоумышленники обычно определяют потенциальные цели, сканируя Интернет на предмет компьютеров, прослушивающих RDP-порт по умолчанию (TCP 3389). Хотя изменение порта прослушивания через реестр Windows может помочь организациям "скрыть" уязвимые соединения, оно не обеспечивает защиты от атак RDP и потому должно использоваться только как дополнительный метод.
Вывод
Внезапный переход к работе из дома привел к резкому увеличению числа доступных в Интернете серверов RDP и киберпреступники непременно воспользуются этой возможностью. Поэтому упреждающий подход к безопасности RDP позволит организациям безопасно использовать возможности удалённой работы, сводя к минимуму подверженность угрозам на основе RDP.
Thanks to Jareth for the article.
___
MFA - технология "Многофакторная аутентификация" (англ. Multi-factor authentication).
RDP - технология "Протокол удалённого рабочего стола" (англ. Remote Desktop Protocol).
VPN - технология "Виртуальная частная сеть" (англ. Virtual Private Network).
© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании и любом использовании материалов ссылка на блог и автора обязательна.
© Amigo-A (Andrew Ivanov): All blog articles.
