rdp windows remote desktop
آسیب پذیری

هشدار: سوءاستفاده از پروتکل RDP

از اواسط سال ۲۰۱۶ با ظهور بازار‌ سیاه فروش مخفی دسترسی به RDP، سوءاستفاده از این ابزار‌ مدیریت از راه دور افزایش‌یافته‌ است. مهاجمین سایبری روش‌های متعدد شناسایی و بهره‌برداری از نشست‌های RDP آسیب‌پذیر را به‌منظور افشای هویت، سرقت اعتبارنامه‌ها و استفاده از اطلاعات حساس دیگر، بر روی اینترنت توسعه داده‌اند. به صاحبان کسب‌وکار و شهروندان توصیه می‌شود تا مجوزهای دسترسی از‌ راه‌ دور به شبکه‌های خود را بررسی کنند و در صورت عدم نیاز این پروتکل‌ها را غیرفعال کنند.

اکیداً توصیه می‌شود در صورت عدم نیاز به ابزار Remote Desktop آن را غیرفعال نمایید.

پروتکل RDP اجازه می‌دهد کاربر از طریق اینترنت، منابع و داده‌های کامپیوتر را کنترل کند. در این پروتکل برای برقراری ارتباط دسکتاپ از راه‌ دور، باید دستگاه محلی و دستگاه از راه ‌دور، از طریق یک نام کاربری و رمز عبور احراز هویت شوند. مهاجمین سایبری مخرب می‌توانند به ارتباط بین دستگاه‌هایی که از این طریق با یکدیگر در ارتباط هستند نفوذ کرده و بدافزارها یا باج افزارها را به سیستم قربانی تزریق کنند . حملات با استفاده از پروتکل RDP نیازی به ورودی کاربر ندارد و همین امر سبب می‌شود تا عملیات تشخیص نفوذ مشکل شود.

 

آسیب‌پذیری‌ها

  • ضعف کلمه ‌عبور: کلمات ‌عبوری که در آن‌ها از واژه‌های فرهنگ لغت استفاده‌شده و یا دارای ترکیبی از حروف بزرگ و کوچک، اعداد و کاراکترهای خاص نمی‌باشند، در مقابل حملاتBrute-force و حملات  مبتنی بر دیکشنری آسیب‌پذیر هستند. (چگونه از کلمات عبور خود محافظت کنیم؟)
  • نسخه‌های به‏‌روزرسانی نشده RDP: این نسخه‌ها ممکن است باعث ازکارافتادن CredSSP (پروتکلی برای اعتبارسنجی) یا مکانیسم رمزگذاری شود. به‌طورکلی استفاده از نسخه منسوخ پتانسیل سوءاستفاده از RDP را بالا می‌برد و آن را در مقابل حمله مردمیانی (MITM) آسیب‌پذیر می‌کند.
  • مجوز دسترسی نامحدود به پورت پیش‌فرض RDP یعنی TCP/3389
  • مجوز ورود نامحدود به یک حساب کاربری

 

نمونه‌های از تهدیدات

باج‌افزار CrySiS: این باج‌افزار برای دسترسی به RDP از حملات  Brute-force و دیکشنری، سیستم‌های تجاری را هدف قرار می‌دهد. CrySiS پس از نفوذ باج‌افزار خود را بر روی دستگاه قربانی قرار داده و اجرا می‌کند. درنهایت درازای کلید رمزگشایی، تقاضای پرداخت بیت کوین می‌کند.

باج‌افزار CryptON: این باج‌افزار از حملات Brute-force برای دسترسی به نشست RDP استفاده می‌کند. سپس به مهاجم اجازه می‌دهد تا به‌صورت دستی برنامه‌های مخرب را در دستگاه آسیب‌دیده اجرا کند. در آخر نیز مهاجم در قبال رمزگشایی، بیت کوین درخواست می‌کند.

باج‌افزار Samsam: این باج‌افزار از طیف گسترده‌ای از اکسپلوت‌ها، از جمله آن‌هایی که به ماشین‌های فعال RDP حمله می‌کنند، برای حملات Brute-force استفاده می‌کند. در جولای سال ۲۰۱۸، مهاجمین از یک حمله Brute-force برای ورود به RDP به‌منظور نفوذ به یک شرکت مراقبت بهداشتی استفاده کردند. این باج‌افزار توانست قبل از تشخیص، هزاران ماشین را رمزگذاری کند.

تبادلDark Web : مهاجمین اکانت های ورودی RDP به سرقت ‌رفته را بر روی وب تاریک خریدوفروش می‌کنند. ارزش اعتبارها بر اساس موقعیت مکانی دستگاه آسیب‌دیده، نرم‌افزار مورداستفاده در نشست و هر ویژگی اضافی دیگر که قابلیت استفاده از منابع سرقت‌ شده را افزایش می‌دهد، تعیین می‌شود.

 

پیشنهادهایی برای محافظت

استفاده از پروتکل RDP باعث ایجاد خطر می‌شود. ازآنجایی‌که به کمک RDP می‌توان به‌طور کامل سیستم را از‌ راه ‌دور کنترل کرد، لازم است که استفاده از آن نظارت‌شده و کنترل‌شده باشد. به‌عنوان بهترین شیوه‌ها برای محافظت در برابر حملات مبتنی بر RDP می‌توان به موارد زیر اشاره کرد:

  • شبکه خود را برای سیستم‌هایی که از RDP برای ارتباطات از راه ‌دور استفاده می‌کنند، بررسی و رصد کنید. در صورت عدم نیاز می‌توانید سرویس را غیرفعال کنید و یا وصله‌های موجود را نصب کنید.
  • تمام ماشین‌های مجازی در بستر ابر را با یک IP عمومی و بدون پورت باز RDP، به‌ویژه پورت ۳۳۸۹ تائید کنید، مگر اینکه یک دلیل تجاری معتبر برای انجام این کار وجود داشته باشد. هر سیستم با یک پورت باز RDP را در پشت دیوار آتش قرار دهید و کاربران را ملزم کنید تا برای استفاده از آن از طریق فایروال، از یک شبکه اختصاصی مجازی (VPN) استفاده کنند.
  • کلمه عبورهای قوی و سیاست‌های قفل حساب را برای مقابله با حملات Brute force فعال کنید.
  • در صورت امکان، احراز هویت دومرحله‌ای را اعمال کنید.
  • به‌طور منظم سیستم و نرم‌افزارها را به‌روزرسانی کنید.
  • یک استراتژی خوب برای پشتیبان داشته باشید.
  • مکانیسم ورود به سیستم را فعال کنید و مطمئن شوید که این مکانیسم، ورودی‌های RDP را ضبط و ثبت می‌کند. همچنین اطلاعات ثبت‌ وقایع را حداقل به مدت ۹۰ روز نگه‌دارید و به‌منظور تشخیص تلاش‌های نفوذ، آن‌ها را به‌طور منظم بررسی کنید.
  • در زمان ایجاد یک ماشین مجازی در بستر ابر، از بهترین شیوه‌های ارائه‌دهندگان ابر برای دسترسی‌های از‌ راه ‌دور پیروی کنید.
  • برای همه دستگاه‌ها قرار گرفتن در معرض شبکه را به حداقل برسانید. تا حد امکان در دستگاه‌های مهم نباید RDP فعال شود.

 

هشدار: سوءاستفاده از پروتکل RDP
To Top