Як убезпечити RDP від ​​вимагачів

Протягом останніх місяців організації в усіх секторах значною мірою покладаються на протокол віддаленого робочого столу (RDP), щоб підтримувати безперервність бізнесу, дотримуючись соціальних дистанцій.

Однак швидкий перехід на віддалену роботу також надав унікальну можливість і для вимагачів. Спеціалісти прогнозували, що багато організацій не матимуть часу або ресурсів для надійного впровадження RDP під час масового переходу до роботи з дому і, як результат, можуть бути вразливими.

Вони мали рацію. Згідно з доповіддю McAfee, кількість портів RDP, відкритих в Інтернеті, зросла приблизно з 3 мільйонів у січні 2020 року до понад 4,5 мільйона в березні.

У цій публікації ми обговоримо, чому суб’єкти погроз використовують RDP для розгортання зловмисного програмного забезпечення, як наші рішення захищають користувачів від атак RDP та найкращі практики щодо зменшення загроз на основі RDP.

Що таке RDP?

RDP – це мережевий протокол комунікацій, розроблений Microsoft. Доступний для більшості операційних систем Windows, він пропонує графічний інтерфейс, який дозволяє користувачам віддалено підключатися до сервера чи іншого комп’ютера. RDP передає відображення віддаленого сервера клієнту та вхід периферійних пристроїв (таких як клавіатура та миша) від клієнта до віддаленого сервера, ефективно дозволяючи користувачам керувати віддаленим комп’ютером так, ніби вони ним керували особисто.

RDP зазвичай використовується в бізнес-середовищі, щоб дозволити кінцевим користувачам віддалено отримувати доступ до файлів і програм, що зберігаються в локальній мережі організації. Адміністратори також часто використовують RDP для віддаленої діагностики та вирішення технічних проблем із пристроями кінцевих користувачів.

Як зловмисники використовують RDP для розгортання шкідливих програм

Загалом RDP вважається безпечним і надійним інструментом при використанні в приватній мережі. Однак серйозні проблеми можуть виникнути, коли порти RDP залишаються відкритими для Інтернету, оскільки це дозволяє кожному підключитися до віддаленого сервера. Якщо з’єднання вдале, зловмисник отримує доступ до сервера і може робити все, що завгодно в межах привілеїв зламаного облікового запису.

Це не нова загроза, але глобальний перехід до віддаленої роботи підкреслив той факт, що багато організацій недостатньо захищають RDP – і суб’єкти погроз використовують це. На початок березня 2020 року в США було близько 200 000 щоденних атак RDP. До середини квітня ця кількість збільшилася до майже 1,3 мільйона. Сьогодні RDP розглядається як найбільший вектор атаки.

RDP можна експлуатувати різними способами. Інциденти, які ми спостерігали останнім часом, здебільшого покладаються на злому систем RDP. Зазвичай процес виглядає приблизно так:

  1. Сканування відкритих портів RDP : Зловмисник використовує безкоштовні, прості у використанні засоби сканування портів, такі як Shodan, для сканування всього Інтернету на предмет відкритих портів RDP.
  2. Спроба ввійти : Зловмисник намагається отримати доступ до системи (як правило, як адміністратор), використовуючи вкрадені облікові дані, які можна придбати на чорному ринку, або використовуючи всі можливі комбінації символів поки не знайдеться правильне ім’я користувача та пароль.
  3. Вимкнення систем безпеки : Після того, як зловмисник отримав доступ до цільової системи, вони зосереджуються на тому, щоб зробити мережу максимально вразливою.
  4. Розподіл корисного навантаження : Після відключення систем безпеки передається “корисне навантаження”. Це може бути встановлення програмного забезпечення в мережі, розгортання кейлогерів, використання компрометованих машин для розповсюдження спаму, крадіжки конфіденційних даних або встановлення backdoor, які можуть бути використані для майбутніх атак.

Як Emsisoft допомагає захистити від нападів на основі RDP

У липні 2020 року ми запровадили нову функцію безпеки, яка допоможе захистити наших користувачів від атак на основі RDP.

Наші рішення тепер відстежують стан служби RDP в режимі реального часу. Якщо виявлено кілька невдалих спроб входу, наше програмне забезпечення запускає попередження адміністраторам через Emsisoft Cloud Console, який може вирішити, чи слід відключити RDP на ураженому пристрої.

Статус служби RDP можна переглядати у хмарній консолі Emsisoft, що дозволяє адміністраторам з першого погляду побачити, чи включено RDP на певному пристрої.

Кращі практики безпечного використання RDP

RDP завжди повинен бути відключений, якщо це не потрібно. Для організацій, які потребують RDP, наступні кращі практики можуть бути корисними для забезпечення RDP від ​​атак.

  • Використовуйте VPN : Як зазначалося, серйозні ризики для безпеки виникають, коли RDP відкритий для Інтернету. Натомість організації повинні використовувати VPN, щоб дозволити віддаленим користувачам безпечно отримувати доступ до корпоративної мережі.
  • Використовуйте надійні паролі : Більшість атак на основі RDP покладаються на зламання слабких даних. Таким чином, організації повинні застосовувати надійні паролі на всіх клієнтських та серверних терміналах RDP. Паролі повинні бути довгими, унікальними та випадковими.
  • Використовуйте багатофакторну автентифікацію: навіть найсильніші паролі можуть бути зламані. Багатофакторна автентифікація (MFA), хоча і не є ідеальною, пропонує додатковий рівень захисту, вимагаючи від користувачів надання принаймні двох форм аутентифікації для входу в сеанс RDP.
  • Використовуйте брандмауер для обмеження доступу : брандмауер можна використовувати для обмеження доступу RDP до певної IP-адреси або діапазону IP-адрес.
  • Використання шлюзу RD : Сервер шлюзу RD, функція, доступна для всіх версій Windows Server з Windows Server 2008, надзвичайно корисна для спрощення розгортання RDP та управління безпекою.
  • Блокувати IP-адреси, які не вдаються до декількох спроб входу : Велика кількість невдалих спроб входу за короткий проміжок часу, як правило, вказує на жорстоку атаку. Політика облікових записів Windows може бути використана для визначення та обмеження кількості разів, коли користувач може спробувати увійти в RDP. Програмне забезпечення захисту Emsisoft автоматично попереджає адміністраторів про виявлення декількох невдалих спроб входу.
  • Обмежити віддалений доступ : Хоча всі адміністратори можуть використовувати RDP за замовчуванням, є велика ймовірність, що багатьом із цих користувачів не потрібен віддалений доступ, щоб виконувати свою роботу. Організації завжди повинні дотримуватися принципу найменшої пільги та обмежувати доступ RDP лише до тих, хто цього по-справжньому вимагає.
  • Зміна порту прослуховування RDP : Зловмисники зазвичай ідентифікують потенційні цілі, скануючи в Інтернеті комп’ютери, які слухають на RDP-портах за замовчуванням (TCP 3389). Хоча зміна порту прослуховування через Реєстр Windows може допомогти організаціям «приховати» вразливі зв’язки, вона не забезпечує захист від RDP-атак і тому повинна використовуватися лише як додаткова техніка.

Висновок

Раптовий перехід на роботу з дому спричинив приріст кількості серверів RDP, що відкрилися в Інтернеті і кіберзлочинці намагаються скористатися цією можливістю.

Проактивний підхід до безпеки RDP дозволяє організаціям безпечно використовувати сили віддаленої роботи, мінімізуючи їхню небезпеку на основі RDP.