Значительное количество работников продолжает работать удаленно из дома. Самый популярный способ получить доступ к необходимым рабочим файлам — с помощью протокола удаленного рабочего стола (RDP). В частности RDP обеспечивает доступ к серверам, рабочим станциям и ресурсам, расположенным централизованно или в разных местах удаленной сети.
При настройке брандмауэров для включения протокола удаленного рабочего стола администраторы сети могут или ограничить доступ к RDP только для сети компании, или разрешить доступ через Интернет. Однако открытие портов для общего доступа представляет опасность, ведь таким образом хакеры могут их обнаружить и атаковать. Например, с помощью поисковой системы Shodan киберпреступники могут найти около 3,5 миллионов портов RDP, которые открыты для доступа через Интернет.
Для ИТ-администраторов крайне важно обеспечить надлежащую защиту RDP, а также соблюдение основных правил безопасности, ведь киберпреступники могут использовать уязвимости в защите для кибератак на корпоративные сети. Именно поэтому специалисты ESET подготовили обзор самых распространенных методов атак, которые используют злоумышленники для компрометации систем через протокол удаленного рабочего стола.
Атаки методом полного перебора (brute force attacks)
Данный метод заключается в том, что киберпреступник пытается войти в систему путем ввода случайных паролей, количество которых иногда достигает миллионов. Обычно, этот процесс автоматизирован и осуществляется с помощью специальных программ. В случае успеха злоумышленники могут инфицировать систему пользователя программами-вымогателями, такими как GandCrab и Sodinokibi, или другим вредоносным программным обеспечением.
Новый модуль трояна TrickBot, который злоумышленники добавили недавно, уже был использован для кибератак на 6000 RDP-серверов. Однако использование надежных учетных данных может сделать такие действия невозможными в вашей системе.
Чтобы убедиться, что сотрудники имеют сложные комбинации для защиты RDP, ИТ-администраторы могут применить инструменты для сравнения хэшей паролей сотрудников со словарем с перечнем слабых паролей.
Атаки с похищенными учетными данными (credential stuffing attack)
Данный метод злоумышленников подобный атакам методом полного перебора, но в этом случае злоумышленники используют данные, которые попали в сеть в результате утечек данных. Хакеры могут автоматизировать этот процесс с помощью специальных программ, например, SNIPR, Sentry MBA, STORM, Black Bullet, Private Keeper и WOXY. Для обхода брандмауэров и других технологий для защиты RDP, злоумышленники используют пакеты прокси (ботнетов), чтобы повторные попытки входа осуществлялись с разных IP-адресов.
Успех злоумышленников зависит от того, насколько часто пользователи повторно используют комбинации для входа. Именно поэтому использование уникальных комбинаций для входа в каждый аккаунт минимизирует риск их похищения.
Атаки методом распыления паролей (password spraying attacks)
Этот метод является еще одним вариантом атак методом полного перебора, при которых злоумышленники стратегически выбирают комбинации для входа, чтобы попытаться ввести их для входа сразу во многие учетные записи.
Хакеры могут собирать имена сотрудников с общедоступных доменов с помощью таких инструментов, как Prowl, Raven и LinkedInt. Эти инструменты собирают списки работников по доменному адресу с LinkedIn. Имея список имен пользователей, хакер может начать атаку на систему.
Если киберпреступники скомпрометируют хотя бы одну учетную запись, они могут использовать ее, чтобы получить пароль и политику блокировки Active Directory, а также настроить будущие атаки с распылением пароля на других пользователей в этом же домене.
Для защиты RDP от атак с использованием учетных данных, специалисты ESET рекомендуют:
- Используйте сложные и уникальные комбинации для входа во все учетные записи. Для удобного хранения всех данных можно использовать современный менеджер паролей.
- Установите двухфакторную аутентификацию. Она обеспечит дополнительный уровень защиты RDP, даже в случае получения злоумышленниками данных от вашего аккаунта.
- Примените ограничение на количество попыток неправильного ввода данных для входа.