RDP na radarze: Zbliżenie na ewoluujące zagrożenia dostępu zdalnego

Gdy pandemia COVID-19 rozprzestrzeniła się na całym świecie, wielu z nas, w tym ja, przeszło do pracy w pełnym wymiarze godzin w domu. Wielu pracowników firmy ESET było już przyzwyczajonych do pracy zdalnej przez pewien czas i była to w dużej mierze kwestia zwiększenia istniejących zasobów, aby poradzić sobie z napływem nowych pracowników zdalnych, takich jak zakup kilku dodatkowych laptopów i licencji VPN.

Tego samego nie można było jednak powiedzieć o wielu organizacjach na całym świecie, które albo musiały od podstaw skonfigurować dostęp dla swoich pracowników zdalnych, albo przynajmniej znacznie zwiększyć swoje serwery Remote Desktop Protocol (RDP), aby dostęp zdalny był użyteczny dla wielu jednoczesnych użytkowników.

Aby pomóc tym działom IT, szczególnie tym, dla których zdalna siła robocza była czymś nowym, współpracowałem z naszym działem treści, aby stworzyć dokument omawiający typy ataków, które firma ESET widziała, a które były ukierunkowane konkretnie na RDP, oraz kilka podstawowych kroków w celu zabezpieczenia się przed nimi . Ten papier można znaleźć tutaj na firmowym blogu ESET, jeśli jesteś ciekawy.

Mniej więcej w tym samym czasie, gdy ta zmiana miała miejsce, firma ESET ponownie wprowadziła naszą globalną raporty o zagrożeniach, a jedną z rzeczy, które zauważyliśmy, był ciągły wzrost liczby ataków RDP. Nawiazujac do naszej raport o zagrożeniach za pierwsze cztery miesiące 2022 r., ponad 100 XNUMX miliard próbowano takich ataków, z których ponad połowa pochodziła z rosyjskich bloków adresów IP.

Oczywiście istniała potrzeba ponownego spojrzenia na exploity RDP, które zostały opracowane, oraz ataki, które umożliwiły, w ciągu ostatnich kilku lat, aby zgłosić to, co ESET widział dzięki swojej analizie zagrożeń i telemetrii. Tak więc właśnie to zrobiliśmy: nowa wersja naszego artykułu 2020, teraz zatytułowana Remote Desktop Protocol: Konfiguracja zdalnego dostępu dla bezpiecznej siły roboczej, został opublikowany w celu udostępnienia tych informacji.

Co się dzieje z PROW?

W pierwszej części tego poprawionego artykułu przyjrzymy się ewolucji ataków w ciągu ostatnich kilku lat. Jedną rzeczą, którą chciałbym się podzielić, jest to, że nie każdy atak wzrasta. W przypadku jednego typu luki firma ESET odnotowała znaczny spadek prób wykorzystania:

• Wykrycia BlueKeep (CVE-2019-0708) wykorzystujący robaki w usługach pulpitu zdalnego zmniejszył się o 44% w porównaniu ze szczytowym poziomem w 2020 r. Przypisujemy ten spadek kombinacji poprawek dla wersji systemu Windows, których dotyczy luka, oraz ochrony przed exploitami na granicy sieci.

Jedną z często słyszanych skarg na firmy zajmujące się bezpieczeństwem komputerowym jest to, że spędzają zbyt dużo czasu na rozmowach o tym, że bezpieczeństwo zawsze się pogarsza i nie poprawia, a wszelkie dobre wiadomości są rzadkie i przemijające. Część tej krytyki jest słuszna, ale bezpieczeństwo jest zawsze procesem ciągłym: zawsze pojawiają się nowe zagrożenia. W tym przypadku zaobserwowanie, że próby wykorzystania luki w zabezpieczeniach, takiej jak BlueKeep, zmniejszają się z czasem, wydaje się dobrą wiadomością. Protokół RDP pozostaje szeroko stosowany, a to oznacza, że ​​osoby atakujące będą nadal prowadzić badania nad lukami, które mogą wykorzystać.

Aby klasa exploitów zniknęła, wszystko, co jest na nie podatne, musi przestać być używane. Ostatni raz pamiętam, że widziałem tak powszechną zmianę, gdy Microsoft wydał Windows 7 w 2009 roku. Windows 7 miał wyłączoną obsługę AutoRun (AUTORUN.INF). Następnie Microsoft przeniósł tę zmianę do wszystkich poprzednich wersji systemu Windows, chociaż nie idealnie pierwszy raz. Funkcja od czasu wydania systemu Windows 95 w 1995 roku, AutoRun była intensywnie wykorzystywana do rozprzestrzeniania robaków, takich jak Conficker. W pewnym momencie robaki oparte na AUTORUN.INF stanowiły prawie jedną czwartą zagrożeń napotykanych przez oprogramowanie firmy ESET. Dziś stanowią mniej niż dziesiąta część procenta detekcji.

W przeciwieństwie do Autoodtwarzania, RDP pozostaje regularnie używaną funkcją systemu Windows i tylko dlatego, że zmniejsza się wykorzystanie pojedynczego exploita przeciwko niemu, nie oznacza to, że liczba ataków na niego jako całości maleje. W rzeczywistości liczba ataków na jej luki w zabezpieczeniach wzrosła ogromnie, co stwarza kolejną możliwość spadku wykrywalności BlueKeep: inne exploity RDP mogą być o wiele bardziej skuteczne, że atakujący przerzucili się na nie.

Patrząc na dane z dwóch lat od początku 2020 r. do końca 2021 r., wydaje się, że zgadza się z tą oceną. W tym okresie telemetria ESET wykazuje ogromny wzrost złośliwych prób połączeń RDP. Jak duży był skok? W pierwszym kwartale 2020 roku odnotowaliśmy 1.97 miliarda prób połączenia. W czwartym kwartale 2021 r. liczba ta wzrosła do 166.37 miliarda prób połączeń, co stanowi wzrost o ponad 8,400%!

Najwyraźniej napastnicy znajdują wartość w łączeniu się z komputerami organizacji, czy to w celu prowadzenia szpiegostwa, umieszczania oprogramowania ransomware, czy innego przestępstwa. Ale można też bronić się przed tymi atakami.

Druga część poprawionego dokumentu zawiera zaktualizowane wytyczne dotyczące obrony przed atakami na PROW. Chociaż ta rada jest bardziej skierowana do tych specjalistów IT, którzy mogą nie być przyzwyczajeni do wzmacniania swojej sieci, zawiera informacje, które mogą być przydatne nawet dla bardziej doświadczonych pracowników.

Nowe dane dotyczące ataków SMB

Wraz z zestawem danych dotyczących ataków RDP pojawił się nieoczekiwany dodatek danych telemetrycznych z prób ataków Server Message Block (SMB). Biorąc pod uwagę tę dodatkową premię, nie mogłem się powstrzymać od spojrzenia na dane i uznałem, że są one na tyle kompletne i interesujące, że można dodać do dokumentu nową sekcję dotyczącą ataków SMB i obrony przed nimi.

Protokół SMB można traktować jako protokół towarzyszący RDP, ponieważ umożliwia zdalny dostęp do plików, drukarek i innych zasobów sieciowych podczas sesji RDP. W 2017 roku ukazała się publiczna premiera EternalBlue (CVE-2017-0144) wykorzystujący robaki. Wykorzystanie exploita nadal rosło 2018, 2019i do 2020, zgodnie z telemetrią firmy ESET.

Luka wykorzystywana przez EternalBlue jest obecna tylko w SMBv1, wersji protokołu sięgającej lat 1990-tych. Jednak protokół SMBv1 był szeroko wdrażany w systemach operacyjnych i urządzeniach sieciowych przez dziesięciolecia i dopiero w 2017 roku firma Microsoft zaczęła dostarczać wersje systemu Windows z domyślnie wyłączonym protokołem SMBv1.

Pod koniec 2020 r. i do 2021 r. firma ESET odnotowała wyraźny spadek prób wykorzystania luki EternalBlue. Podobnie jak w przypadku BlueKeep, firma ESET przypisuje tę redukcję wykrywalności praktykom stosowania poprawek, ulepszonej ochronie na obrzeżach sieci i zmniejszonemu wykorzystaniu SMBv1.

Końcowe przemyślenia

Należy zauważyć, że informacje przedstawione w tym poprawionym dokumencie zostały zebrane z telemetrii firmy ESET. Za każdym razem, gdy ktoś pracuje z danymi telemetrycznymi zagrożeń, istnieją pewne zastrzeżenia, które należy zastosować do ich interpretacji:

1. Udostępnianie danych telemetrycznych dotyczących zagrożeń firmie ESET jest opcjonalne; jeśli klient nie połączy się z systemem LiveGrid® firmy ESET ani nie udostępni firmie ESET anonimowych danych statystycznych, nie będziemy mieć żadnych danych na temat napotkanej instalacji oprogramowania firmy ESET.
2. Wykrywanie złośliwej aktywności RDP i SMB odbywa się za pomocą kilku warstw ochrony firmy ESET technologie, w tym Ochrona przed botnetami, Ochrona przed atakami Brute Force, Ochrona przed atakami sieciowymi, i tak dalej. Nie wszystkie programy firmy ESET mają te warstwy ochrony. Na przykład program ESET NOD32 Antivirus zapewnia podstawowy poziom ochrony przed złośliwym oprogramowaniem dla użytkowników domowych i nie ma tych warstw ochronnych. Są one obecne w programach ESET Internet Security i ESET Smart Security Premium, a także w programach ochrony punktów końcowych firmy ESET dla użytkowników biznesowych.
3. Raporty o zagrożeniach firmy ESET, choć nie zostały wykorzystane do przygotowania tego dokumentu, zawierają dane geograficzne z dokładnością do regionu lub kraju. Wykrywanie GeoIP jest mieszanką nauki i sztuki, a czynniki takie jak korzystanie z VPN i szybko zmieniająca się własność bloków IPv4 mogą mieć wpływ na dokładność lokalizacji.
4. Podobnie ESET jest jednym z wielu obrońców w tej przestrzeni. Telemetria informuje nas, jakie instalacje oprogramowania firmy ESET uniemożliwiają, ale firma ESET nie ma wglądu w to, z czym spotykają się klienci innych produktów zabezpieczających.

Z powodu tych czynników bezwzględna liczba ataków będzie wyższa niż to, czego możemy się dowiedzieć z telemetrii ESET. To powiedziawszy, uważamy, że nasza telemetria jest dokładną reprezentacją ogólnej sytuacji; ogólny wzrost i spadek wykrywalności różnych ataków w ujęciu procentowym, a także trendy ataków odnotowane przez firmę ESET będą prawdopodobnie podobne w całej branży zabezpieczeń.

Specjalne podziękowania dla moich kolegów Bruce'a P. Burrella, Jakuba Filipa, Tomáša Foltýna, Rene Holta, Előda Kironskiego, Ondreja Kuboviča, Gabrielle Ladouceur-Despins, Zuzanny Pardubskiej, Lindy Skrúcaná i Petera Stančíka za pomoc w redagowaniu tego artykułu.

Arie Gorecki, ZCSE, rMVP
Wybitny Badacz, ESET