雷达上的RDP:不断发展的远程访问威胁的上点视图

配置错误的远程访问服务继续为坏演员提供了通往公司网络的简单访问路径 - 这是您可以最大程度地减少攻击的方式,从而滥用远程桌面协议

配置错误的远程访问服务继续为坏演员提供了通往公司网络的简单访问路径 - 这是您可以最大程度地减少攻击的方式,从而滥用远程桌面协议

随着2019年共同的大流行在全球范围内蔓延,包括我本人在内的许多人都转向全职工作。ESET的许多员工已经习惯了时间远程工作,这在很大程度上是一个扩大现有资源来处理新远程工人涌入的问题,例如购买了更多笔记本电脑和VPN许可证。

但是,对于世界各地的许多组织都无法说,他们要么不得不从头开始设置其远程劳动力的访问权限,要么至少显着扩展其远程桌面协议(RDP)服务器,以使许多人可用于许多人并发用户。

为了帮助那些IT部门,尤其是远程劳动力是新事物的部门,我与内容部门合作创建了一篇论文,讨论Eset的攻击类型,Eset看到了专门针对RDP的攻击,以及确保他们确保他们的一些基本步骤。可以找到那张纸在ESET的公司博客上,如果您很好奇。

大约在发生这种变化的同时,ESET重新引入了我们的全局威胁报告,我们注意到的一件事是RDP攻击继续增长。根据我们的说法2022年前四个月的威胁报告,超过100十亿尝试进行此类攻击,其中一半以上被追溯到俄罗斯IP地址块。

显然,在过去的几年中,有必要再查看开发的RDP漏洞以及他们做出的攻击,以报告Eset通过其威胁智能和遥测的看法。因此,我们只是这样做的:我们的2020年纸的新版本,现在标题为远程桌面协议:为安全劳动力配置远程访问,已发布以分享该信息。

RDP发生了什么?

在这篇修订后的论文的第一部分中,我们研究了过去几年的攻击如何发展。我想分享的一件事是,并非每一次攻击都在增加。对于一种类型的脆弱性,ESET看到剥削尝试明显减少:

  • 检测蓝色(CVE-2019-0708)在远程桌面服务中可造的漏洞利用比2020年的峰值下降了44%。我们将这种减少归因于受影响版本的Windows Windows Plus Exploit Protection在网络周边的补丁实践的组合。

图1. CVE-2019-0708全球“蓝keek”检测(来源:ESET遥测)

关于计算机安全公司的最常见的抱怨之一是,他们花了太多时间谈论安全性总是在变得更糟而不是改善,而且任何好消息都是很少见的和暂时的。其中一些批评是有效的,但是安全始终是一个持续的过程:新威胁总是在出现。在这种情况下,看到试图利用诸如蓝色keep弱的脆弱性随着时间的流逝,似乎是个好消息。RDP仍然被广泛使用,这意味着攻击者将继续对他们可以利用的漏洞进行研究。

为了使一类利用消失,任何容易受到他们的影响都必须停止使用。我上次记得看到如此广泛的变化是Microsoft在2009年发布Windows 7时。Microsoft然后将此更改返回到所有以前的Windows,尽管不是完美第一次。自1995年发布Windows 95以来的一项功能,Autorun被严重滥用以传播蠕虫混意。有一次,总部位于Autorun.inf的蠕虫占ESET软件遇到的近四分之一的威胁。今天,他们在百分之十检测。

与自动播放不同,RDP仍然是Windows的定期使用功能,仅仅是因为使用单个利用的使用减少,这并不意味着整体上对其进行攻击。事实上,针对其脆弱性的攻击已经大大增加,这增加了蓝色守门检测的另一种可能性:其他RDP漏洞可能更有效,以至于攻击者已转向他们。

从2020年初到2021年底的两年数据似乎与此评估一致。在此期间,ESET遥测显示了恶意RDP连接尝试的大量增加。跳跃有多大?在2020年第一季度,我们看到了197亿个连接尝试。到2021年的第四季度,它已跃升至1663.7亿的连接尝试,增长了8,400%以上!

图2.在全球检测到的恶意RDP连接尝试(来源:ESET遥测)。绝对数字是舍入的

显然,攻击者正在发现与组织的计算机连接的价值,无论是进行间谍活动,种植勒索软件还是其他犯罪行为。但是也有可能防御这些攻击。

修订后的第二部分提供了有关防御RDP攻击的最新指南。尽管此建议更适合那些可能无法习惯的IT专业人员,但它包含的信息甚至可能对经验丰富的员工有帮助。

SMB攻击的新数据

随着RDP攻击的一系列数据,导致了来自未曾尝试的服务器消息块(SMB)攻击的遥测。考虑到这一增加的奖金,我不禁要查看数据,并觉得它完全且有趣,以至于可以将有关SMB攻击的新部分以及针对它们的防御措施添加到纸上。

可以将SMB视为RDP的伴随协议,因为它允许在RDP会话期间远程访问文件,打印机和其他网络资源。2017年公开发行了Eternalblue(CVE-2017-0144)可刺耳的利用。利用的使用继续增长2018,,,,2019,进入2020,根据Eset遥测。

图3. CVE -2017-0144全球“ Eternalblue”检测(来源:ESET遥测)

Eternalblue利用的漏洞仅存在于SMBV1中,SMBV1是一种可以追溯到1990年代的协议版本。但是,SMBV1在操作系统和网络设备中已广泛实施了数十年,直到2017年,Microsoft才开始默认情况下禁用了SMBV1的Windows版本。

在2020年底和2021年,ESET在利用Eternalblue脆弱性的尝试中显着下降。与BlueKeep一样,ESET将检测的降低归因于修补方法,改善了网络周边的保护措施以及SMBV1的使用量减少。

最后的想法

重要的是要注意,这篇修订论文中提供的此信息是从Eset的遥测中收集的。每当使用威胁遥测数据时,都必须应用某些条件来解释它:

  1. 与ESET共享威胁遥测是可选的;如果客户不连接到ESET的LiveGrid®系统或与ESET共享匿名统计数据,那么我们将没有任何有关其安装ESET软件遇到的数据。
  2. 恶意RDP和SMB活动的检测是通过ESET保护性的几层进行的技术, 包含僵尸网络保护,,,,蛮攻击保护,,,,网络攻击保护,等等。并非所有ESET的程序都具有这些保护层。例如,ESET NOD32防病毒软件为家庭用户提供了针对恶意软件的基本保护,并且没有这些保护层。它们存在于ESET Internet Security和ESET Smart Security Premium中,以及ESET为业务用户提供的端点保护程序。
  3. 尽管没有用于本文的准备,但ESET威胁报告将地理数据提供到了该地区或国家 /地区层面。GEOIP检测是科学和艺术的混合物,诸如使用VPN和IPv4块的所有权诸如使用诸如速度的因素可能会影响位置准确性。
  4. 同样,ESET是该空间中众多捍卫者之一。遥测告诉我们,ESET软件的哪些装置正在阻止,但是ESET对其他安全产品的客户遇到了哪些遇到的客户。

由于这些因素,攻击的绝对数量将比我们从ESET的遥测中学到的东西要高。就是说,我们认为我们的遥测是整体情况的准确代表。在整个安全行业,各种攻击,百分比以及ESET指出的攻击趋势的总体增加和减少。

特别感谢我的同事布鲁斯·伯雷尔(Bruce P.188宝金博

Aryeh Goretsky,ZCSE,RMVP
杰出的研究员Eset

注册以收到电子邮件更新,每当我们在我们的乌克兰危机 - 数字安全资源中心

通讯

讨论