Kibernetski kriminalci in RDP: pogled na črni trg za dostop do oddaljenega namizja
Nezakoniti trgi, ki prodajajo dostop do oddaljenih namizij, v katerih je prišlo do vdora, po vsem svetu uspevajo tako v temnem kot v čistem spletu. Dostop RDP daje napadalcu popoln nadzor nad oddaljenim računalnikom skoraj brez omejitev. Zaradi tega je dostop do RDP privlačna tarča za hekerje. Na hekerskih forumih in tržnicah je mogoče najti na tisoče vdrtih strežnikov RDP.
Cene vdrtih strežnikov RDP (Remote Desktop Protocol) se zelo razlikujejo. V novi analizi dostopa do črnega trga RDP so raziskovalci Comparitecha odkrili sezname v razponu od 30 centov do več kot 10.000 $. Razlika v ceni temelji na specifikacijah oddaljenega računalnika, kje se nahaja, kaj vsebuje in do česa ima dostop. V povprečju so cene okoli 3 do 4 dolarje. Na primer, raziskovalci Comparitecha so odkrili enega prodajalca, ki prodaja dostop RDP v izbrani državi za 1,50 USD. Oddaljeni računalniki verjetno ne vsebujejo ničesar dragocenega, vendar jih je še vedno mogoče uporabiti za kibernetske napade. Ponudnik zagotavlja dostop najmanj 48 ur.
Raziskovalci Comparitecha so ugotovili, da so najboljše države z največ strežniki RDP ZDA, Kitajska, Kanada in Nemčija.
Januarja 2019 so ameriške oblasti Floridi zasegli in zaprl xDedic, tržnico, ki je omogočila več kot 68 milijonov dolarjev goljufij. Kaspersky Lab našel stran je kupovala in prodajala dostop do več kot 70.000 vdrtih strežnikov z vsega sveta. Žrtve so bile lokalne, državne in zvezne vlade, infrastruktura, bolnišnice, službe za nujno pomoč, klicni centri, organi javnega prevoza, računovodske družbe, odvetniške družbe, pokojninski skladi in univerze.
Čeprav xDedic zdaj ni več, sta prodaja in zloraba ukradenih poverilnic RDP še vedno prepogosta na spletu, so ugotovili raziskovalci Comparitecha.
Ponudniki na tržnicah RDP včasih začnejo z brezplačnimi darili RDP na družbenih omrežjih, temnih forumih in klepetalnicah. To jim omogoča hitro ustvarjanje ugleda in baze strank.
Kaj je protokol za oddaljeno namizje (RDP)?
RDP, okrajšava za Protokol oddaljenega namizja , omogoča enemu računalniku nadzor nad drugim preko omrežne povezave. Z RDP lahko en računalnik (odjemalec) vidi zaslon in nadzira vhode drugega računalnika (strežnika) prek interneta, kot da bi bil tik pred njim. RDP, ki ga je razvil Microsoft, je eno najpogostejših orodij za nadzor oddaljenih strojev.
Strežniki – računalniki z operacijskim sistemom Windows in strežniki, ki imajo nameščen protokol za oddaljeno namizje – lahko pripadajo potrošnikom ali organizacijam, vendar je slednje veliko pogostejše. Podjetja uporabljajo RDP, da zaposlenim na daljavo med drugim omogočijo dostop do naprav podjetja, omrežij, aplikacij in pomnilnika.
Zakaj je hekanje RDP tako nevarno
Recimo, da ima vaša pisarna računalnik z operacijskim sistemom Windows z nameščenim in omogočenim protokolom za oddaljeno namizje. Omogoča oddaljenim zaposlenim, da se prijavijo iz svojih naprav, tako da lahko dostopajo samo do pisarniških aplikacij, datotek in drugih virov. Ker pandemija COVID-19 sili vse več ljudi k delu na daljavo, je to vse bolj pogost scenarij.
Napadalec uspe najti uporabniško ime in geslo za dostop RDP računalnika z operacijskim sistemom Windows (več o tem, kako hekerji to počnejo spodaj). Zdaj se lahko prijavijo v računalnik na daljavo in ga uporabljajo, kot da bi bili zaposleni. Napadalec lahko ukrade datoteke, podtakne zlonamerno programsko opremo in uporabi stroj kot proxy za izvajanje neželene pošte in goljufij.
Nekateri primeri napadov, izvedenih prek RDP, vključujejo:
- PayPal, eBay in Amazon goljufije
- Kraja podatkov
- Vohanje omrežnega prometa za dragocene podatke, kot so številke kreditnih kartic
- Okužba naprav v omrežju strežnika z izsiljevalsko programsko opremo
- Kripto rudarjenje
- Botneti in porazdeljeni napadi z zavrnitvijo storitve
- Goljufije pri igrah na srečo
- Prevare na zmenkih
Še več, če je oddaljeni računalnik prijavljen v račune iz prejšnjih sej ali ima omogočeno samodejno dokončanje obrazcev za prijavo, lahko napadalec zdaj dostopa do vseh teh računov. PayPal, Ebay, Amazon in spletna mesta za igre na srečo so pogoste tarče, vendar bodo hekerji izkoristili vse, kar bodo našli na oddaljenem računalniku. Kibernetski kriminalci pogosto kupijo dostop RDP na lokaciji v bližini svoje žrtve, da bi se izognili lokacijskim omejitvam na teh mestih. Kriminalci lahko kupujejo izdelke in si pošiljajo denar, pogosto prek mul, tako da njihovih transakcij ni mogoče izslediti.
V korporativnem okolju lahko en sam strežnik RDP nadzoruje več spletnih mest ali drugih storitev, kar lahko kupcu omogoči, da poišče številke kreditnih kartic, dostopa do podatkovnih baz uporabnikov in izvaja napade na druge naprave v lokalnem omrežju strežnika. Zanesljiv dostop do takega strežnika je lahko izjemno dragocen.
Kako napadalci vdrejo v RDP?
Iskanje strežnikov RDP je preprosto. Prosto dostopna orodja, kot so Shodan.io, ZoomEye in Censys, lahko skenirajo splet za vrata in protokole, ki jih običajno uporablja RDP.
Naši raziskovalci so vzpostavili strežnik RDP honeypot, da ugotovijo pogostost in vrste napadov na strežnike RDP. V 24 urah je strežnik zabeležil:
- 12.000 zahtev za skeniranje
- 850 poskusov surove sile
- 30 trdih ključavnic (trajne blokade)
- 300 mehkih zaklepanja (začasne prekinitve)
- 25 pregledov uporabe
Preverjanje izkoriščanja je bilo večinoma sestavljeno iz hekerjev, ki so iskali znane ranljivosti in ukaze za izvidovanje.
Hekerji imajo nekaj načinov za pridobitev nepooblaščenega dostopa do strežnika RDP:
- Razprševanje gesel: Nekaj običajnih gesel se poskusi vnesti na milijone naslovov IP. To je bil najpogostejši napad, ki so ga zabeležili naši raziskovalci.
- Slovarski brutalni napadi na en sam obseg IP: Hekerji poskušajo vnesti veliko gesel na obseg naslovov IP, kjer se nahaja več strežnikov RDP.
- Izkoriščanje znanih ranljivosti: Različice sistema Windows brez popravkov vsebujejo varnostne napake, kot je BlueKeep, ki med drugimi napadi omogoča oddaljeno izvajanje kode.
- Zastrupitev z ARP: v lokalnem omrežju, kjer je že prišlo do vdora, lahko napadalec najde in dostopa do več strežnikov RDP tako, da ponarejanje ARP sporočila.
- Zlonamerna programska oprema Stealer: vrsta trojanca, ki med drugimi cilji beleži poverilnice za dostop do strežnikov RDP, nato pa poverilnice posreduje napadalcu.
Hekerjem ni treba začeti iz nič, ko poskušajo pridobiti nepooblaščen dostop do strežnikov RDP. ARP spoofers, kompleti za izkoriščanje in RDP brute forcers so na voljo tako v čistem spletu kot v temnem omrežju.
Napadalci želijo ohraniti nadzor nad ogroženim strežnikom RDP čim dlje. Za to uporabljajo omarico.
Omarica je lupinski skript sistema Windows, ki zapre vse aplikacije na strežniku in odjemalcu ne dovoli ogleda strežnika, dokler ni vneseno geslo. Ker lahko ranljive strežnike RDP najde in napade kdor koli, omarice preprečujejo drugim hekerjem, da bi ugrabili že vdrt strežnik RDP. Res je, da lahko izkušeni hekerji zlahka zaobidejo omarice z napadi prekoračitve medpomnilnika, s surovim vsiljevanjem gesla ali z odstranitvijo omarice prek ukaznega poziva.
Kako odkriti in preprečiti napade na RDP
Raziskovalci Comparitecha svetujejo posameznikom in organizacijam, ki uporabljajo RDP, naj spremljajo, če že ne omejijo, kateri naslovi IP se lahko povežejo s strežnikom RDP. Skrbniki morajo redno preverjati dnevnike RDP za povezave neznanih uporabnikov.
Za pomoč pri tem naši raziskovalci priporočajo RdpMon , brezplačno in odprtokodno orodje, ki prikazuje povezave RDP v realnem času in pretekle. Program beleži izvorne IP-je, število uspehov in neuspehov, prijave, aktivne in pretekle seje, izvedene procese in drugo.
Drugo uporabno orodje je Cyberarms . To je programska oprema za zaznavanje in obrambo vdorov (IDDS), ki med drugimi cilji blokira napade s surovo silo na strežnike RDP.
Drugi nasveti za zaščito strežnika RDP vključujejo:
- Uporabljajte močna, dolga in edinstvena gesla
- Spremenite privzeto številko vrat na 3389
- Posodabljajte svoj strežnik RDP
Raziskovalci Comparitecha sklepajo, da je prodaja vdrtih poverilnic RDP stalna težava, o kateri se premalo poroča.