پروتکل ریموت دسکتاپ (RDP) برای بسیاری از شرکت ها و سازمان های کوچک و متوسط بسیار پرکاربرد است، به طوری که بیشتر آن ها برای انجام فعالیت های خود وابسته به این پروتکل هستند. خصوصا در ماه های اخیر با توجه به شرایط پیش آمده در دنیا بدلیل ویروس کرونا، نیاز سازمان ها به استفاده از پروتکل های ارتباط ریموت بیشتر شده است.
گسترش پروتکل های ارتباطی ریموت، فرصت مناسبی را برای مجرمان سایبری فراهم کرده است تا حملات باج افزاری را بیش از پیش توسعه دهند. آن ها پیش بینی کرده بودند که اکثر شرکت ها و سازمان ها، زمان و منابع کافی برای پیاده سازی یک پروتکل امن ریموت دسکتاپ (RDP) را ندارند و از طریق این آسیب پذیری می توانند به راحتی حملات خود را اجرایی کنند.
البته حق هم با آن ها بود. بر اساس گزارش McAfee، تعداد پورت های RDP هک شده، از تقریباً 3 میلیون در ماه ژانویه سال 2020 به بیش از 4.5 میلیون در ماه مارس افزایش یافت.
در این مطلب، به بررسی فرآیند حملات ریموت دسکتاپ (RDP) برای استقرار بدافزارها خواهیم پرداخت. اینکه چگونه امسی سافت از کاربران در برابر این حملات محافظت می کند، و در آخر بهترین راهکارهای موجود برای کاهش تهدیدات مبتنی بر ریموت دسکتاپ را با شما در میان خواهیم گذاشت.
ریموت دسکتاپ (RDP) چیست؟
ریموت دسکتاپ یک پروتکل ارتباط از راه دور شبکه است که توسط شرکت مایکروسافت توسعه داده شده است. برای اکثر سیستم عامل های ویندوز در دسترس است و با استفاده از یک رابط گرافیکی ساده، به کاربران امکان می دهد از راه دور به سرور و یا کامپیوترهای دیگر متصل شوند. پروتکل ریموت دسکتاپ (RDP)، نمایشگر، صفحه کلید و ماوس سیستم (سرور یا کلاینت) ریموت را در اختیار کاربران و مدیران قرارداده و به آن ها اجازه می دهد به طور موثر آن ها را از راه دور کنترل کنند به طوری که انگار بطور فیزیکی با آن سیستم کار می کنند.
ریموت دسکتاپ به طور معمول در شرکت ها و سازمان ها مورد استفاده قرار می گیرد و به کاربران امکان دسترسی از راه دور به فایل ها و برنامه های موجود در شبکه محلی سازمان را می دهد. مدیران شبکه نیز در بیشتر مواقع از این پروتکل برای تشخیص و برطرف كردن مشكلات فنی کامپیوترهای سازمان استفاده می كنند.
مجرمان سایبری چگونه با استفاده ازپروتکل ریموت دسکتاپ (RDP)، حملات بدافزاری خود را پیاده سازی می کنند؟
ریموت دسکتاپ معمولاً به عنوان ابزاری مطمئن و ایمن در یک شبکه خصوصی در نظر گرفته می شود. اما چنانچه دسترسی به پورت RDP از شبکه های نا امن دیگری (مانند اینترنت) باز باشد، ممکن است باعث ایجاد مشکلات جدی شود. چرا که این امکان را به هر کسی می دهد تا بتواند از راه دور به سرور متصل شود. در صورت موفقیت آمیز بودن این فرآیند، هکر می تواند به سرور دسترسی پیدا کند و بر اساس سطح دسترسی کاربر، تغییرات مورد نظرش را بر روی سرور اعمال کند.
این تهدید جدیدی به حساب نمی آید، اما بسیاری از سازمان ها به اندازه کافی امنیت مورد نیاز ریموت دسکتاپ را فراهم نمی کنند و هکرها از این مساله نهایت استفاده را می برند. بر اساس گزارشات شرکت Kaspersky، تعداد حملات RDP ثبت شده از ماه مارس سال 2020 تا اواسط ماه آوریل، از 200 هزار عدد، به 1.3 میلیون مورد رسیده است. امروزه حملات ریموت دسکتاپ (RDP) بزرگترین علت گسترش باج افزارها محسوب می شوند.
این پروتکل می تواند به روش های مختلف مورد سوء استفاده قرار بگیرد. در موارد اخیر، بیشتر، هک شدن سیستم هایی مشاهده شد که RDP آنها در دسترس اینترنت بودند.
این روند به طور معمول چیزی شبیه به مراحل زیر است:
1. اسکن کردن پورت های ریموت دسکتاپ RDP: مهاجم از ابزارهای اسکن پورت مانند Shodan که کار کردن با آنها بسیار هم ساده است، برای اسکن پورت های RDP موجود در اینترنت استفاده می کند.
2. تلاش برای ورود به سیستم: مهاجم سعی می کند با استفاده از اطلاعات (یوزرنیم و پسورد) دزدیده شده ای که می توان در بازار سیاه خریداری کرد یا با استفاده از ابزارهای brute-Force که به طور سیستماتیک و پیوسته در حال ایجاد اطلاعات کاربری هستند (این ابزارها هزاران ترکیب مختلف از اعداد، کاراکترها و غیره را در لحظه تولید و تست می کنند.)، به سیستم دسترسی پیدا کند.
3. غیر فعال کردن آنتی ویروس و سیستم های امنیتی: پس از اینکه مهاجم به سیستم دسترسی یافت، حداکثر تلاشش را می کند تا سیستم های حفاظتی و امنیتی شبکه را غیر فعال کند. بسته به سطح دسترسی کاربر، اقداماتی از قبیل غیر فعال کردن آنتی ویروس، حذف فایل های پشتیبان و تغییر دادن تنظیمات امنیتی سیستم عامل صورت می پذیرد.
4. آلوده کردن سیستم: پس از غیرفعال شدن سیستم های امنیتی و ایجاد شبکه آسیب پذیر، سیستم را می توان به راحتی آلوده کرد. این فرآیند ممکن است شامل نصب انواع بدافزارها مانند باج افزار، کی لاگر، اسپمر، بکدور (برای حملات بعدی) و یا سرقت داده های حساس کاربر باشد.
چگونه امسی سافت از حملات ریموت دسکتاپ (RDP) جلوگیری می کند؟
در ماه جولای سال 2020، ما یک ویژگی امنیتی جدید را برای کمک به کاربران در برابر حملات مبتنی بر ریموت دسکتاپ (RDP) ارائه دادیم. در حال حاضر امسی سافت می تواند وضعیت سرویس RDP را در لحظه رصد کند و در صورت تشخیص فرآیندی مشکوک (مانند لاگین های پشت سرهم و ناموفق)، از طریق کنسول مدیریت ابری خود، سریعا به مدیر شبکه اطلاع می دهد و مدیر شبکه می تواند تصمیم بگیرد که سرویس RDP را غیرفعال کند یا خیر. همچنین از طریق کنسول ابری، وضعیت سرویس RDP کاملا قابل مشاهده است و امکان فعالسازی و یا غیر فعال کردن آن توسط مدیر شبکه وجود دارد.
ایمن کردن ریموت دسکتاپ (RDP)
در ابتدا لازم است تذکر دهیم که در حد امکان این سرویس را غیر فعال کنید و از آن استفاده نکنید. اما برای سازمان هایی که واقعا به استفاده از این سرویس نیازمند هستند، روش های زیر می تواند در ایمن نگه داشتن این سرویس بسیار کارآمد باشد:
1. استفاده از VPN: همانطور که اشاره شد، خطرات امنیتی جدی زمانی بوجود می آید که شبکه های ناامنی مانند اینترنت، به سرویس ریموت دسکتاپ ما دسترسی باشند. در این شرایط سازمان ها باید از VPN استفاده کنند، تا به کاربران امکان دسترسی ایمن از راه دور به شبکه محلی شرکت را بدهند. این روش از نظر امنیتی بسیار مناسب تر است.
2. پسوردهای قوی: بیشتر حملات مبتنی بر RDP از اطلاعات ورود ضعیف (یوزرنیم و پسورد) بهره می برند. به این ترتیب، سازمانها باید حتما از پسوردهای قوی در کلیه کلاینت ها و سرورها استفاده کنند. پسورد ها باید طولانی، منحصر به فرد و تصادفی باشند.
3. احراز هویت چند مرحله ای: حتی قوی ترین پسوردها نیز می توانند لو بروند. احراز هویت چند مرحله ای (MFA) با ملزم ساختن کاربران برای ارائه حداقل دو شکل احراز هویت، لایه حفاظتی اضافه تری را برای سرویس ریموت دسکتاپ شما ایجاد می کند.
4. فایروال: با استفاده از فایروال می توان سرویس ریموت دسکتاپ را به یک آدرس IP خاص یا رنج خاصی از آدرسهای IP محدود کرد.
5. RD Gateway سرور: سرویس RD gateway که یک ویژگی موجود در تمام نسخه های ویندوز سرور از ویندوز سرور 2008 به بعداست، برای ساده سازی دیپلویمنت ریموت دسکتاپ و مدیریت امنیتی این سرویس بسیار مفید است.
6. مسدود کردن IP هایی که چندین تلاش نا موفق برای ورود به سیستم داشته اند: تعداد زیادی از تلاشهای ناموفق برای ورود به سیستم در مدت زمان کوتاه، معمولاً نشان دهنده حملات brute-force است. قابلیت Windows Account Policy می تواند برای تعریف و محدود کردن تعداد دفعاتی که کاربر می تواند برای ورود به سیستم تلاش کند، مورد استفاده قرار گیرد و همانطور که در بالا نیز اشاره کردیم، امسی سافت هم از طریق کنسول مدیریت ابری، به طور خودکار به مدیران شبکه در مورد ورودهای ناموفق سرویس ریموت دسکتاپ هشدار می دهد.
7. محدود سازی کاربران: در حالی که همه کاربران با دسترسی مدیر می توانند به طور پیش فرض از ریموت دسکتاپ استفاده کنند، احتمال زیادی وجود دارد که بسیاری از این کاربران برای انجام کار خود نیازی به این سرویس نداشته باشند. سازمان ها باید همیشه از اصل حداقل دسترسی پیروی کنند و دسترسی RDP را فقط به کاربرانی که واقعاً به آن احتیاج دارند محدود کنند.
8. تغییر پورت پیش فرض ریموت دسکتاپ: هکرها معمولاً با اسکن کردن پورت پیش فرض RDP در اینترنت (TCP 3389)، اهداف احتمالی را شناسایی می کنند. در حالی که تغییر پورت پیش فرض از طریق ویندوز رجیستری می تواند به سازمان ها در مخفی کردن این پورت در اینترنت کمک کند، اما هیچگاه نمی تواند جلوی حملات RDP را بگیرد و صرفا به عنوان یک تکنیک تکمیلی مورد استفاده قرار می گیرد.
نکته پایانی
گسترش روزافزون مشاغل ریموت و استفاده بیش از پیش از سرویس ریموت دسکتاپ، باعث شده است تا مجرمان سایبری از این فرصت نهایت استفاده را کرده و حملات بدافزاری خود را از این طریق پیاده سازی کنند. بکارگیری یک رویکرد پیشگیرانه در خصوص ایمن کردن این سرویس، به سازمان ها این امکان را می دهد تا از پتانسیل های کار کردن بصورت ریموت نهایت استفاده را ببرند و ریسک حملات بدافزاری از طریق ریموت دسکتاپ (RDP) را به حداقل برسانند.
روز خوب و بدون بدافزاری داشته باشید!
برگرفته از:
بدون نظر