רבים מהעובדים משתמשים בפרוטוקול גישה מרחוק לשולחן העבודה (Remote Desktop Protocol – RDP), למשל מנהלי רשת שצריכים לנהל את השרתים עבור האתרים ובסיסי הנתונים שבאחריותם ועובדים שצריכים לגשת למשאבים משותפים כחלק מעבודתם היומיומית. פרוטוקול RDP מאפשר גישה לשרתים, תחנות קצה ומשאבים שנמצאים במקום אחד או בכמה רשתות מרוחקות שונות.
בעת הקמת חומות האש הארגוניות, בכדי לאפשר שימוש ב-RDP צריכים מנהלי הרשת להחליט האם להגביל את הגישה מחוץ לחברה או לאפשר אותה. חשיפת פורטי RDP לעולם החיצוני עשויה להביא לסכנה – תוקפים עשויים לגלות את הפורטים הללו ולהשתמש בהם במתקפותיהם. שימוש בכלי חיפוש כמו Shodan מאפשר לתוקפים למצוא כ-3.5 מיליון פורטי RDP החשופים לרשת האינטרנט.
התרשים שבלינק הזה מראה תוצאות עובר פורט מספר 3389 בלבד – פורט ברירת המחדל של פרוטוקול RDP. חברות רבות משתמשות בפורט אחר עבור ה-RDP, גישה שאפשר לקרוא לה "אבטחה באמצעות הטעיה". אך הפורט השונה לא מפריע לתוקפים להשיג את מטרתם, כי מיד לאחר סריקת הפורט הספציפי הם יחפשו פעילות RDP בפורטים פתוחים אחרים.
כצפוי, הכלי Shodan מראה עלייה במספר המכשירים בהם פורט ה-RDP חשוף לאינטרנט – מגמה שמתאימה למעבר העולמי לעבודה מהבית, שבה הבחנו בחודשים האחרונים בעקבות מגפת הקורונה.
מנהלי IT חייבים להבטיח שהגישה לפרוטוקול RDP תאובטח כראוי וכי המשתמשים בוחרים את סיסמאותיהם בחוכמה.
חשוב לציין כי שימוש בחיבור RDP לגישה מחוץ לארגון לא מומלץ כלל ואנחנו, ב-ESET, ממליצים לא לפתוח פורטים כלפי חוץ, או לפחות לצמצם את מספר ההתקשרויות למינימום האפשרי. עם זאת, אנחנו מבינים שההמלצה הזאת עלולה להיות בעייתית לעסקים וארגונים רבים, במיוחד בזמנים אלה, שבהם רבים עובדים מהבית בעקבות מגפת הקורונה. לכן, חשוב להבין איך אפשר לצמצם את החשיפה לאיומים המנצלים את חיבור ה-RDP.
RDP מאובטח יותר. מקור: BigStock
מהן שיטות התקיפה הנפוצות המנצלות את חיבור RDP, ואיך אפשר להתגונן?
Brute force
במתקפת Brute force, התוקף מנסה להיכנס באמצעות סיסמאות אקראיות, ולעתים הוא אף עושה זאת מיליוני פעמים. התהליך הזה מתרחש בדרך כלל באופן אוטומטי ובאמצעות תוכנה. אם המתקפה מצליחה, לעתים קרובות היא סוללת את הדרך להחדרת תוכנות כופר כמו GandCrab ו-Sodinokibi, או כל נוזקה אחרת.
באחרונה, כותבי הסוס הטרויאני TrickBot הוסיפו מודול חדש לפריצת Brute force על גבי פרוטוקול RDP. הגרסה המשודרגת של TrickBot תקפה כבר יותר מ-6,000 שרתי RDP. שימוש בסיסמה ארוכה וחזקה יכול להפוך את סוג המתקפה הזאת לכמעט בלתי אפשרית.
על מנת לוודא שהעובדים משתמשים בסיסמאות חזקות, מנהלי IT יכולים להשתמש בכלים להשוואות HASH של סיסמאות העובדים לטבלת HASH ידועה של סיסמאות חלשות.
Credential stuffing attacks
מתקפת Credential stuffing attacks דומה למתקפת Brute force, כשההבדל היחיד ביניהן הוא שמתקפה מסוג זה משתמשת בפרטי גישה שהודלפו ממקום אחר כדי להיכנס למערכת. ניתן למצוא פרטי גישה מודלפים במרחב הציבורי, בפורומי האקינג ובדארקנט.
האקרים יכולים להפוך את המתקפות האלה לאוטומטיות באמצעות שימוש בתוכנות כמו SNIPR, Sentry MBA, STORM, Black Bullet, Private Keeper ו-WOXY. כדי להימנע מחסימה מצד חומות האש ושכבות הגנה נוספות, התוקפים משתמשים בכמה פרוקסים (בוטנטים), כך שניסיונות החדירה החוזרים יגיעו מכתובות IP שונות.
הצלחתה של מתקפה זו היא הודות לכך שמשתמשים רבים משתמשים באותה הסיסמה עבור חשבונות שונים. שימוש בסיסמה ייחודית בכל פעם יהפוך מתקפה כזו לקשה הרבה יותר.
Password spraying attacks
מתקפת Password spraying attacks היא גרסה אחרת של מתקפת Brute force, אלא שבסוג מתקפה זה התוקף בוחר באופן אסטרטגי כמה סיסמאות, שאותן יבדוק מול חשבונות רבים. הרעיון מאחורי מתקפה זו הוא להימנע מנעילת החשבונות לאחר ניסיונות כניסה כושלים מרובים באמצעות פיזור המתקפה לאורך זמן והכוונתה למספר גדול יותר של חשבונות.
הפורצים יכולים לאסוף את שמות המשתמש של העובדים באמצעות שימוש בכלים כמו Prowl, Raven ולינקדאין. הכלים האלה מקבלים כתובות מייל של החברה ואוספים רשימות עובדים מלינקדאין.
מרגע שלתוקף יש רשימה של שמות משתמש, הוא יכול להוציא לפועל את המתקפה. אם התוקף יצליח להיכנס לחשבון אחד בלבד, הוא יצליח להשתמש בחשבון הזה כדי לחשוף את הסיסמה ואת מדיניות הנעילה של דומיין ה-Active Directory שאליו המשתמש שייך, וכך לשפר את ניסיונות התקיפה הבאים אל מול משתמשים אחרים באותו הדומיין.
מנהלי IT או אנשי אבטחת מידע בארגונים שרוצים להתגונן בצורה הטובה ביותר מפני מתקפות המנצלות את חיבור ה-RDP מוזמנים להוריד את המדריך המלא להקשחת חיבור ה-RDP, שחיברו מומחי ESET.