Ataki brute-force na sesje RDP, najbardziej w kość dostaje sektor medyczny

13 lutego 2017

We wrześniu 2016 roku badacze z Trend Micro (ci sami, których blog poruszający zagadnienia bezpieczeństwa został zhakowany) wykryli ransomware Crysis, którego metoda rozprzestrzeniania była nietypowa – nie polegała (jak w większości przypadków) na wysyłaniu wiadomości typu spam – ale na słownikowych atakach (brute force) na komputery z włączoną usługą zdalnego pulpitu (ang. RDP, Remote Desktop Protocol). Eksperci porównali ilość ataków z okresu Q1 2016 – Q1 2017 i odkryli, że ich liczba podwoiła się. Najbardziej cierpi sektor opieki medycznej w Stanach Zjednoczonych ze względu na przechowywane informacje, które są niezbędne do prawidłowego funkcjonowania szpitali, planowania operacji, wglądu w historie chorób pacjentów, i które po zaszyfrowaniu będą na tyle istotne, że funkcjonowanie placówki medycznej może być znacznie utrudnione.

Zaatakowano także cele z sektora telekomunikacyjnego, finansowego, rządowego, edukacyjnego i przemysłowego.

Po siłowym odgadnięciu haseł i zalogowaniu się do zdalnego komputera, przestępcy tworzyli udostępniony w ramach sesji RDP folder, który służył im do przesyłania złośliwego oprogramowania na urządzenie ofiary:

Ustawienia dla udostępnionego folderu w ramach sesji RDP.
Czasami włączali nawet schowek systemowy, który był współdzielony pomiędzy zainfekowanym, a zdalnym komputerem.

Obie metody pozwalają przekopiować pliki pomiędzy komputerami, dlatego warto sobie uświadomić, że przestępcy tak samo jak szyfrować pliki, mogą je po prostu kraść. Próba ataku nie uda się, jeśli agresorzy przy użyciu powszechnie stosowanych nazw użytkowników i haseł nie zdołają się uwierzytelnić. Ale jeśli ustalą prawidłową kombinację danych, z całą pewnością powrócą i zdołają sporo namieszać.

Moja organizacja korzysta z RDP, co zrobić?

  • zmienić domyślny port z TCP 3389 na wyższy znany tylko osobom upoważnionym,
  • używać niebanalnego hasła,
  • włączyć Network Level Authentication (NLA) i w ustawieniach serwera pulpitu zdalnego zezwolić na połączenia z NLA (jeśli logowanie odbywa się tylko z maszyn Windows),
  • ograniczyć użytkowników, którzy mogą zdalnie logować się via RDP,
  • skonfigurować RDP Gateway,
  • wykorzystać dodatkowe uwierzytelnienie, np. za pomocą Yubikey,
  • wyłączyć RDP jeśli nie jest wykorzystywany.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
1 Komentarz
Inline Feedbacks
View all comments
Specek
Specek
3 lat temu

Polecam RDP Guard – prosto , skutecznie. Mam ponad 50 klientow z otwartym 3389 i ten program instaluje na starcie…

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ