Шахраї знаходить вразливі RDP-хости за 90 секунд

0 Коментарі
Шахраї знаходить вразливі RDP-хости за 90 секунд
Позиция на странице статьи, сразу после главного изображения статьи

     Оператори шкідливих кампаній фокусуються на незахищених підключеннях віддаленого доступу, відмовляючись від масованих email-розсилок і інших методів доставки корисного навантаження. В сьогоднішніх реаліях онлайн-сканери миттєво виявляють вразливий сервер, після чого він виявляється під постійною атакою.

     До таких висновків прийшли ІБ-експерти, які протягом місяця спостерігали за спробами зламати 10 ханіпотов з доступом по RDP (Remote Desktop Protocol, протокол віддаленого доступу). В якості приманок виступали віртуальні машини Amazon під керуванням Windows Server 2019. Їх базова конфігурація допускає RDP-підключення, що робить такі хости бажаною метою для операторів шкідників, таких як шифрувальники SamSam, Dharma, Scarabey.
       В ході дослідження перша спроба незаконного втручання сталася менш ніж через півтори хвилини після запуску віртуальних машин. У наступні 15 годин онлайн-сканери знайшли всі створені ханіпоти. Після виявлення приманки спроби зламати її відбувалися в середньому кожні шість секунд. Всього ж за період дослідження системи зареєстрували 4,3 млн таких інцидентів.
Як зламують RDP
    За словами дослідників, більшість атак мають спорадичний характер — організатори швидко перебирають кілька варіантів логіна і пароля і йдуть ні з чим. В інших випадках зломщики застосовують більш оригінальні техніки. Так, деякі зловмисники зупиняються на трьох спробах авторизації — цей метод дозволяє їм економити ресурси і триматися поза полем зору автоматичних систем. Дослідники також припускають, що подібної стратегії дотримуються оператори ботнетів, які можуть послідовно пробивати порти з різних IP-адрес.
     Техніка тарана передбачає перебір десятків тисяч паролів лише з кількома варіантами логіна. Таким чином злочинці можуть намагатися зламати адміністраторські акаунти — їх паролі часто складніші, ніж у користувачів, а ім'я облікового запису може залишатися типовим (administrator, admin).
    З іншого боку, техніка рою побудована на підстановці різних імен при обмеженій кількості паролів. Експерти наводять як приклад зловмисника, який вказував в якості логіна будь-яке прізвище, послідовно підставляючи до неї всі букви алфавіту (A.Smith, B.Smith, C.Smith ...). На кожен варіант доводилося по дев'ять спроб авторизації — дослідники припускають, що злочинець міг йти за списком найпопулярніших паролів.
     Ще один оригінальний метод фахівці назвали «їжаком» — в цьому випадку сплески активності, які чергуються з періодами затишшя, на графіку нагадують голки. Зловмисник налаштував скрипт таким чином, щоб кількість спроб авторизації в ході кожного сеансу було унікальним. Імовірно, це приховує його активність від автоматичних систем.
      Серед інших відкриттів — несподівана популярність логіна SSM-User, який виявився на четвертому місці після administrator, admin і user. Це значення стоїть за умовчанням на багатьох віртуальних машинах Amazon. Як згадувалося вище, у таких хостів за замовчуванням включено RDP-з'єднання, чим і користуються зловмисники.
Роль пошукача Shodan в кібератаках
     Дослідники також поставили за мету відстежити, як швидко комп'ютери з незахищеним підключенням з'являються в базі пошукача Shodan. По ній експерти нерідко судять про масштаб тієї чи іншої загрози, будь то кількість вразливих IoT-пристроїв або непропатченних веб-серверів. Злочинці також не з чуток знайомі з цим сервісом.
    За період дослідження створені ханіпоти так і не з'явилися на сторінках Shodan, що наштовхнуло експертів на два висновки:
Шкідливі сканери використовують інші методи для виявлення вразливих хостів, і досить успішно (нагадаємо, першу приманку виявили протягом півтора хвилин).
    Компанії не повинні відчувати себе в безпеці, якщо Shodan не може виявити в їх інфраструктурі вразливих підключень.
Як захистити RDP-з'єднання
    Дослідники роблять висновок, що проблема уразливого віддаленого доступу буде актуальна доти, поки користувачі створюють слабкі паролі. Про актуальність загрози найкраще говорить зростання шкідливої активності в цій сфері. У 2012 році в ході аналогічного дослідження експерти реєстрували по дві спроби злому за годину. Сьогодні цей показник досягає 600.
    За словами фахівців, на стан речей може вплинути творець RDP — корпорація Microsoft. В її силах впровадити більш надійні способи авторизації на зразок двофакторної аутентифікації або PKI. З іншого боку, розробники Amazon могли б відключити на своїх віртуальних машинах доступне за замовчуванням RDP-з'єднання або також використовувати посилену аутентифікацію.
     Поки ж експерти нагадують адміністраторам, що протокол віддаленого доступу по природі своїй не створений для доступу через Інтернет. Якщо в компанії немає можливості організувати підключення, крім як по RDP, IT-фахівці повинні обмежити кількість невдалих спроб авторизації, забезпечити контроль над обліковими записами і навчити користувачів створювати надійні паролі.

Слайдер записів

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.