Значна кількість працівників продовжує працювати віддалено з дому. Найпопулярніший спосіб отримати доступ до необхідних робочих файлів — за допомогою протоколу віддаленого робочого стола (RDP). Зокрема RDP забезпечує доступ до серверів, робочих станцій та ресурсів, розташованих централізовано або у різних місцях віддаленої мережі.
Під час налаштування брандмауерів для включення протоколу віддаленого робочого стола адміністратори мережі можуть або обмежити доступ до RDP лише для мережі компанії, або дозволити доступ через Інтернет. Однак відкриття портів для загального доступу становить небезпеку, адже таким чином хакери можуть їх виявити та атакувати. Наприклад, за допомогою пошукової системи Shodan кіберзлочинці можуть знайти близько 3,5 мільйона портів RDP, які відкриті для доступу через Інтернет.
Для ІТ-адміністраторів вкрай важливо забезпечити належний захист RDP, а також дотримання основних правил безпеки, адже кіберзлочинці можуть використати уразливості у захисті для кібератак на корпоративні мережі. Саме тому спеціалісти ESET підготували огляд найпоширеніших методів атак, які використовують зловмисники для компрометації систем через протокол віддаленого робочого стола.
Атаки методом повного перебору (brute force attacks)
Даний метод полягає в тому, що кіберзлочинець намагається увійти в систему шляхом вводу випадкових паролів, кількість яких іноді сягає мільйонів. Зазвичай, цей процес автоматизований та здійснюється за допомогою спеціальних програм. У разі успіху зловмисники можуть інфікувати систему користувача програмами-вимагачами, такими як GandCrab та Sodinokibi, або іншим шкідливим програмним забезпеченням.
Новий модуль трояна TrickBot, який зловмисники додали нещодавно, вже був використаний для кібератак на 6000 RDP-серверів. Однак використання надійних облікових даних може зробити такі дії неможливими у вашій системі.
Щоб переконатися, що співробітники мають складні комбінації для захисту RDP, ІТ-адміністратори можуть застосувати інструменти для порівняння хешів паролів співробітників зі словником з переліком слабких паролів.
Атаки з викраденими обліковими даними (credential stuffing attack)
Даний метод зловмисників подібний до атак методом повного перебору, але у цьому випадку зловмисники використовують дані, які потрапили в мережу внаслідок витоків даних. Хакери можуть автоматизувати цей процес за допомогою спеціальних програм, наприклад, SNIPR, Sentry MBA, STORM, Black Bullet, Private Keeper та WOXY. Для обходу брандмауерів та інших технологій для захисту RDP, зловмисники використовують пакети проксі (ботнетів), щоб повторні спроби входу здійснювалися з різних IP-адрес.
Успіх зловмисників залежить від того, наскільки часто користувачі повторно використовують комбінації для входу. Саме тому використання унікальних комбінацій для входу у кожен обліковий запис мінімізує ризик їх викрадення.
Атаки методом розпилення паролів (password spraying attacks)
Цей метод є ще одним варіантом атак методом повного перебору, при яких зловмисники стратегічно обирають комбінації для входу, щоб спробувати ввести їх для входу одразу до багатьох облікових записів.
Хакери можуть збирати імена співробітників з загальнодоступних доменів за допомогою таких інструментів, як Prowl, Raven та LinkedInt. Ці інструменти збирають списки працівників за доменною адресою з LinkedIn. Маючи список імен користувачів, хакер може розпочати атаку на систему.
Якщо кіберзлочинці скомпрометують хоча б один обліковий запис, вони можуть використати його, щоб отримати пароль та політику блокування Active Directory, а також налаштувати майбутні атаки з розпиленням пароля на інших користувачів у цьому ж домені.
Для захисту RDP від атак з використанням облікових даних, спеціалісти ESET рекомендують:
- Використовуйте складні та унікальні комбінації для входу до всіх облікових записів. Для зручного зберігання усіх даних можна використовувати сучасний менеджер паролів.
- Встановіть двофакторну аутентифікацію. Вона забезпечить додатковий рівень захисту RDP, навіть у разі отримання зловмисниками даних від вашого облікового запису.
- Застосуйте обмеження на кількість спроб неправильного вводу даних для входу.