از اواسط سال ۲۰۱۶ با ظهور بازار سیاه فروش مخفی دسترسی به RDP، سوءاستفاده از این ابزار مدیریت از راه دور افزایشیافته است. مهاجمین سایبری روشهای متعدد شناسایی و بهرهبرداری از نشستهای RDP آسیبپذیر را بهمنظور افشای هویت، سرقت اعتبارنامهها و استفاده از اطلاعات حساس دیگر، بر روی اینترنت توسعه دادهاند. به صاحبان کسبوکار و شهروندان توصیه میشود تا مجوزهای دسترسی از راه دور به شبکههای خود را بررسی کنند و در صورت عدم نیاز این پروتکلها را غیرفعال کنند.
اکیداً توصیه میشود در صورت عدم نیاز به ابزار Remote Desktop آن را غیرفعال نمایید.
پروتکل RDP اجازه میدهد کاربر از طریق اینترنت، منابع و دادههای کامپیوتر را کنترل کند. در این پروتکل برای برقراری ارتباط دسکتاپ از راه دور، باید دستگاه محلی و دستگاه از راه دور، از طریق یک نام کاربری و رمز عبور احراز هویت شوند. مهاجمین سایبری مخرب میتوانند به ارتباط بین دستگاههایی که از این طریق با یکدیگر در ارتباط هستند نفوذ کرده و بدافزارها یا باج افزارها را به سیستم قربانی تزریق کنند . حملات با استفاده از پروتکل RDP نیازی به ورودی کاربر ندارد و همین امر سبب میشود تا عملیات تشخیص نفوذ مشکل شود.
آسیبپذیریها
- ضعف کلمه عبور: کلمات عبوری که در آنها از واژههای فرهنگ لغت استفادهشده و یا دارای ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص نمیباشند، در مقابل حملاتBrute-force و حملات مبتنی بر دیکشنری آسیبپذیر هستند. (چگونه از کلمات عبور خود محافظت کنیم؟)
- نسخههای بهروزرسانی نشده RDP: این نسخهها ممکن است باعث ازکارافتادن CredSSP (پروتکلی برای اعتبارسنجی) یا مکانیسم رمزگذاری شود. بهطورکلی استفاده از نسخه منسوخ پتانسیل سوءاستفاده از RDP را بالا میبرد و آن را در مقابل حمله مردمیانی (MITM) آسیبپذیر میکند.
- مجوز دسترسی نامحدود به پورت پیشفرض RDP یعنی TCP/3389
- مجوز ورود نامحدود به یک حساب کاربری
نمونههای از تهدیدات
باجافزار CrySiS: این باجافزار برای دسترسی به RDP از حملات Brute-force و دیکشنری، سیستمهای تجاری را هدف قرار میدهد. CrySiS پس از نفوذ باجافزار خود را بر روی دستگاه قربانی قرار داده و اجرا میکند. درنهایت درازای کلید رمزگشایی، تقاضای پرداخت بیت کوین میکند.
باجافزار CryptON: این باجافزار از حملات Brute-force برای دسترسی به نشست RDP استفاده میکند. سپس به مهاجم اجازه میدهد تا بهصورت دستی برنامههای مخرب را در دستگاه آسیبدیده اجرا کند. در آخر نیز مهاجم در قبال رمزگشایی، بیت کوین درخواست میکند.
باجافزار Samsam: این باجافزار از طیف گستردهای از اکسپلوتها، از جمله آنهایی که به ماشینهای فعال RDP حمله میکنند، برای حملات Brute-force استفاده میکند. در جولای سال ۲۰۱۸، مهاجمین از یک حمله Brute-force برای ورود به RDP بهمنظور نفوذ به یک شرکت مراقبت بهداشتی استفاده کردند. این باجافزار توانست قبل از تشخیص، هزاران ماشین را رمزگذاری کند.
تبادلDark Web : مهاجمین اکانت های ورودی RDP به سرقت رفته را بر روی وب تاریک خریدوفروش میکنند. ارزش اعتبارها بر اساس موقعیت مکانی دستگاه آسیبدیده، نرمافزار مورداستفاده در نشست و هر ویژگی اضافی دیگر که قابلیت استفاده از منابع سرقت شده را افزایش میدهد، تعیین میشود.
پیشنهادهایی برای محافظت
استفاده از پروتکل RDP باعث ایجاد خطر میشود. ازآنجاییکه به کمک RDP میتوان بهطور کامل سیستم را از راه دور کنترل کرد، لازم است که استفاده از آن نظارتشده و کنترلشده باشد. بهعنوان بهترین شیوهها برای محافظت در برابر حملات مبتنی بر RDP میتوان به موارد زیر اشاره کرد:
- شبکه خود را برای سیستمهایی که از RDP برای ارتباطات از راه دور استفاده میکنند، بررسی و رصد کنید. در صورت عدم نیاز میتوانید سرویس را غیرفعال کنید و یا وصلههای موجود را نصب کنید.
- تمام ماشینهای مجازی در بستر ابر را با یک IP عمومی و بدون پورت باز RDP، بهویژه پورت ۳۳۸۹ تائید کنید، مگر اینکه یک دلیل تجاری معتبر برای انجام این کار وجود داشته باشد. هر سیستم با یک پورت باز RDP را در پشت دیوار آتش قرار دهید و کاربران را ملزم کنید تا برای استفاده از آن از طریق فایروال، از یک شبکه اختصاصی مجازی (VPN) استفاده کنند.
- کلمه عبورهای قوی و سیاستهای قفل حساب را برای مقابله با حملات Brute force فعال کنید.
- در صورت امکان، احراز هویت دومرحلهای را اعمال کنید.
- بهطور منظم سیستم و نرمافزارها را بهروزرسانی کنید.
- یک استراتژی خوب برای پشتیبان داشته باشید.
- مکانیسم ورود به سیستم را فعال کنید و مطمئن شوید که این مکانیسم، ورودیهای RDP را ضبط و ثبت میکند. همچنین اطلاعات ثبت وقایع را حداقل به مدت ۹۰ روز نگهدارید و بهمنظور تشخیص تلاشهای نفوذ، آنها را بهطور منظم بررسی کنید.
- در زمان ایجاد یک ماشین مجازی در بستر ابر، از بهترین شیوههای ارائهدهندگان ابر برای دسترسیهای از راه دور پیروی کنید.
- برای همه دستگاهها قرار گرفتن در معرض شبکه را به حداقل برسانید. تا حد امکان در دستگاههای مهم نباید RDP فعال شود.
