Полторы минуты на взлом: как сегодня хакают RDP-протоколы

Опубликовано at 15:12
205 0

Sophos опубликовали пространный отчет о повороте тренда в деятельности вредоносных кампаний. Теперь их операторы фокусируются на незащищенных подключениях удаленного доступа, отказываясь от массированных email-рассылок и других методов доставки полезной нагрузки.

Спасибо за это, по-видимому, стоит сказать специализированному ПО типа Shodan: в сегодняшних реалиях онлайн-сканеры мгновенно обнаруживают уязвимый сервер, после чего он оказывается под постоянной атакой.

В ходе исследования в течение месяца наблюдали за попытками взломать 10 ханипотов (псевдоуязвимые компьютеры-приманки для хакеров) с доступом по RDP (Remote Desktop Protocol, протокол удаленного доступа).

В качестве приманок выступали виртуальные машины Amazon под управлением Windows Server 2019. Их базовая конфигурация допускает RDP-подключение, что делает такие хосты желанной целью для операторов зловредов, таких как шифровальщики SamSam, Dharma, Scarabey.

Просто цифры: первая же попытка неправомерного доступа произошла менее чем через полторы минуты после запуска виртуальных машин. Всего за последующие 15 часов онлайн-сканеры нашли все созданные ханипоты. После обнаружения приманки попытки взломать ее происходили в среднем каждые шесть секунд. Всего же за период исследования системы зарегистрировали 4,3 млн таких инцидентов.

Большинство атак, однако, имеют спорадический характер – организаторы быстро перебирают несколько вариантов логина и пароля и «откатываются», уходят с пустыми руками. Некоторые злоумышленники останавливаются на трех попытках авторизации – этот метод позволяет им экономить ресурсы и держаться вне поля зрения автоматических систем. По мнению экспертов Sophos, подобной стратегии придерживаются операторы ботнетов, которые могут последовательно пробивать порты с разных IP-адресов.

Автоматизированные попытки доступа включают в себя технику тарана (перебор десятков тысяч паролей лишь с несколькими вариантами логина), зачастую с типовыми админскими аккаунтами; технику роя (подстановка разных имен для логина при ограниченном количестве паролей); техника «ежа» – в этом случае всплески активности, которые чередуются с периодами затишья, на графике напоминают иглы.

Среди других открытий – неожиданная популярность логина SSM-User, который оказался на четвертом месте после administrator, admin и user. Это значение стоит по умолчанию на многих виртуальных машинах Amazon, у таких хостов по умолчанию включено RDP-соединение, чем и пользуются злоумышленники.

Роль поисковика Shodan в кибератаках, однако, не столь высока, как можно подумать. За период исследования созданные ханипоты так и не появились на страницах Shodan, из чего следует, что вредоносные сканеры используют другие, пока не описанные, методы для обнаружения уязвимых хостов,; компании не должны чувствовать себя в безопасности, если Shodan не обнаруживает в их инфраструктуре уязвимых подключений.

В 2012 году в ходе аналогичного исследования эксперты регистрировали по две попытки взлома за час. Сегодня этот показатель достигает 600. Что может изменить положение? По словам специалистов, создатель RDP – корпорация Microsoft, в силах которой внедрить более надежные способы авторизации наподобие двухфакторной аутентификации или PKI. Ну и разработчики Amazon, конечно, могли бы отключить на своих виртуальных машинах доступное по умолчанию RDP-соединение или также использовать усиленную аутентификацию.

Читайте также на АКБ:

Одна уязвимость = целиком зараженная инфраструктура: история одной атаки Indrik Spider

Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows

Пристегнитесь: эксплойт для критической уязвимости BlueKeep появился в сети

Подписываемся, следим @CyberAgency

Related Post

Владельцев мессенджеров обяжут получать лицензию для передачи данных в России

Опубликовано - 16.01.2018 0
Мобильные приложения и мессенджеры должны готовиться к переменам. Их права в области оказания услуг связи будут регулироваться новым IT-кодексом. На…