تلاش برای نفوذ و هک به 1.5 میلیون سرور rdp

حتی کاربران آن را خوش بین ترین می دانند که چندین هفته برای هرکسی که بر پروتکل دسک تاپ مایکروسافت (RDP) متکی است، موافق است.

آخرین رکورد بد خبر که هفته گذشته منتشر شد، زمانی که رناتو ماریینو پژوهشگر آزمایشگاه Morphus اعلام کرد کشف یک کمپین خشونت آمیز خشونت بار علیه 1.5 میلیون سرور RDP توسط یک بوت نت به نام GoldBrute.

در ماه مه مایکروسافت هشدار فوری مایکروسافت درمورد خطر آسیب پذیری خطرناک به نام BlueKeep (CVE-2019-0708) در ویندوز XP و 7 سرویس Remote Desktop Services (RDS) که از RDP استفاده می کردند، داغ شد.

مایکروسافت، دو هفته پس از هشدار اولیه تأکید کرد، هنگامی که حداقل یک میلیون سیستم آسیب پذیر کشف کرده بود، هنوز در مورد پچ موجود استفاده کرده است.

در آن زمان، آژانس امنیت ملی آمریکا (NSA) در تاریخ 4 ژوئن 2019 با هشدار خفیف اپوزیسیون BlueKeep خود را فاش کرد، روشن بود که آنها معتقد بودند که چیزی غیرمعمول ممکن است باعث شود.

پشت سرت است

حمله مگابایتی BlueKeep از سوءاستفاده هنوز صورت نگرفته است، اما کاربران در عین حال GoldBrute هستند، تهدیدی بسیار اساسی که به مشکل سرورهای RDP که در معرض اینترنت قرار می گیرند، اهمیت می دهد.

جستجو در Shodan تعدادی از سرورها را در این وضعیت آسیب پذیر قرار می دهد که در آن 2،4 میلیون نفر را شامل می شود که 1566/571 مورد آن، مورفوس کشف کرده است، مورد حمله قرار گرفته است که هدف قرار دادن اعتبار ضعیف است.

در هر سرور که در آن موفق است، فرمان و کنترل کد GoldBrute را به شکل خام ارسال می کند که برای اسکن کردن سرور های RDP بیشتر به عنوان یک پلت فرم راه اندازی استفاده می شود و به دنبال آن یک لیست جدید از IP ها و سرورها برای مقابله با خشونت علیه است. نوشته Marinho:

هر ربات فقط یک نام کاربری و رمز عبور خاص را در هر هدف امتحان می کند. این است که احتمالا یک استراتژی برای پرواز در زیر رادار ابزارهای امنیتی به عنوان هر تلاش احراز هویت از آدرس های مختلف می آید.

مورفس نمی داند که چند حمله موفقیت آمیز بوده است، که برای برآورد اندازه ربات ضروری است. با این حال، این شرکت سرورها را در لیست هدف جهانی قرار داد و با نقاط داغ در چین (876،000 سرور) و ایالات متحده (434،000) قرار گرفت.

GoldBrute از فهرست خود استفاده می کند و همچنان ادامه می یابد تا اسکن و رشد کند.

RDP مشکلات خود را در طول سال ها داشته است - در سال 2017 ما آن را "پروتکل دسک تاپ Ransomware" به نام استفاده از آن با استفاده از نرم افزارهای مزاحم اجباری نامگذاری کردیم، اما حوادث هفته های اخیر نشان می دهد تهدید بدتر شده یا حداقل نمایه بالاتر.

چیزی که نمی دانید می تواند به شما آسیب برساند

ناگزیر، برخی از سرورها در Shodan به سادگی تبدیل شده اند و فراموش شده در مورد، قرار دادن صاحبان خود را به خطر خطر "خارج از دید، بدون ذهن". اولین وظیفه پس از آن این است که ببینید آیا این همان در شبکه شما درست است.

اگر RDP مورد نیاز نیست، آن را خاموش کنید در حالی که آن را استفاده نمی شود، شاید تنظیم یک قانون فایروال و دوره هک و نفوذ برای جلوگیری از RDP در بندر 3389 برای اندازه گیری امن است.

اگر RDP مورد نیاز است، استفاده از آن را در یک دروازه VPN در نظر بگیرید، پس از آن در اینترنت نمایش داده نمی شود. 

در حالت ایده آل، برخی از انواع احراز هویت چند فاکتور شبکه را نیز فعال می کند که به طور چشمگیری خطر را کاهش می دهد در صورتی که اعتبار های سرور به نحوی به خطر افتاده است.

به طور معمول، ایده خوبی است که تعداد دفعاتی را که می توان حدس زد رمز عبور را محدود می کند، گرچه، همانگونه که در بالا ذکر شد، GoldBrute تلاش می کند تا تحت رادار قرار بگیرد و خود را به یک تلاش در هر میزبان آسیب پذیر تبدیل کند.