چگونه می توان دسترسی ریموت ویندوز RDP را از حمله کنندگان باج افزار محافظت کرد؟

در ماه های اخیر ، سازمان ها در هر بخش برای حفظ تداوم تجارت بدلیل شیوع ویروس کرونا ضمن رعایت فاصله اجتماعی ، به شدت به پروتکل دسکتاپ از راه دور (RDP) اعتماد می کنند. با این حال ، تغییر سریع به کار از راه دور، همچنین فرصتی بی نظیر را برای گروه های باج افزار فراهم کرده است. متخصصان پیش بینی کردند که بسیاری از سازمانها وقت یا منابع لازم برای اجرای ایمن RDP در طول انتقال گسترده به کار از خانه را نخواهند داشت و در نتیجه ، ممکن است در برابر مصالحه آسیب پذیر باشند.

حق با آنها بود. بر اساس گزارش McAfee ، تعداد درگاه های RDP در معرض اینترنت از حدود 3 میلیون در ژانویه 2020 به بیش از 4.5 میلیون در ماه مارس افزایش یافته است.
در این پست ، ما در مورد اینکه چرا عوامل تهدید از RDP برای استقرار بدافزار استفاده کرده و راه حل ها و بهترین شیوه های حفاظت از  کاربران در برابر حملات بی رحمانه RDP و بهترین روش ها برای کاهش تهدیدات مبتنی بر RDP  را براساس تجربیات خود اعلام می کنیم.

RDP چیست؟

چگونه می توان دسترسی ریموت ویندوز RDP را از حمله کنندگان باج افزار محافظت کرد؟

RDP یک پروتکل ارتباطی شبکه است که توسط مایکروسافت ساخته شده است. برای اکثر سیستم عامل های ویندوز موجود است .یک رابط گرافیکی فراهم می کند که کاربران را قادر می سازد از راه دور به یک سرور یا رایانه دیگر متصل شوند. RDP نمایش سرور از راه دور را به مشتری و ورودی وسایل جانبی (مانند صفحه کلید و ماوس) را از مشتری به سرور از راه دور منتقل می کند ، در واقع به کاربران اجازه می دهد تا یک رایانه از راه دور را کنترل کنند به گونه ای که شخصاً از طریق آن رایانه کار می کنند.

RDP معمولاً در محیط کسب و کار استفاده می شود تا به کاربران نهایی امکان دسترسی از راه دور به پرونده ها و برنامه های ذخیره شده در شبکه محلی سازمان را بدهد. سرپرستان همچنین معمولاً از RDP برای تشخیص و حل مشکلات فنی دستگاههای کاربران نهایی از راه دور استفاده می کنند.

چگونه مهاجمان از RDP برای استقرار بدافزار استفاده می کنند؟

RDP معمولاً هنگامی که در یک شبکه خصوصی استفاده می شود به عنوان ابزاری ایمن و ایمن در نظر گرفته می شود. با این وجود ، ممکن است با باز ماندن پورتهای RDP به اینترنت ، مشکلات جدی بوجود آید زیرا به هر کسی امکان اتصال به سرور از راه دور را می دهد. اگر اتصال موفقیت آمیز باشد ، مهاجم به سرور دسترسی پیدا می کند و می تواند هر کاری را در محدوده امتیاز حساب هک شده انجام دهد.
این تهدید جدیدی نیست ، اما تغییر جهانی به کار از راه دور این واقعیت را تأیید کرده است که بسیاری از سازمان ها از امنیت کافی RDP برخوردار نیستند – و بازیگران تهدید از این مزیت استفاده می کنند. بر اساس گزارش کسپرسکی ، در آغاز مارس 2020 ، روزانه حدود 200000 حمله بی رحمانه RDP در ایالات متحده انجام می شود. در اواسط آوریل ، این تعداد تقریباً 1.3 میلیون بار شده بود. امروزه RDP به عنوان بزرگترین عامل حمله باج افزار محسوب می شود.

RDP می تواند به طرق مختلف مورد بهره برداری قرار گیرد. حوادثی که اخیراً مشاهده کرده ایم بیشتر به هک شدن سیستم های RDP در معرض اینترنت متکی هستند. روند به طور معمول چیزی شبیه به این است:

اسکن برای درگاه های RDP در معرض:

مهاجم از ابزارهای اسکن پورت رایگان و ساده مانند Shodan برای اسکن کل اینترنت برای درگاه های RDP در معرض استفاده می کند.
تلاش برای ورود به سیستم:

مهاجم سعی در دسترسی به سیستم (معمولاً به عنوان سرپرست) با استفاده از اعتبارنامه های سرقتی را دارد که می توان از آن در بازار سیاه خریداری کرد یا به طور معمول ، ابزارهای بی رحمانه ای که به طور سیستماتیک سعی در ورود به سیستم با استفاده از هر ترکیب نویسه ممکن را دارند تا نام کاربری و رمز عبور صحیح پیدا شود.

غیرفعال کردن سیستم های امنیتی:

هنگامی که مهاجم به سیستم هدف دسترسی پیدا کرد ، آنها تمرکز خود را بر این دارند تا شبکه را تا حد ممکن ناامن کنند. بسته به امتیازات حساب به خطر افتاده ، این ممکن است شامل غیرفعال کردن نرم افزار ضد ویروس ، حذف نسخه پشتیبان و تغییر تنظیمات پیکربندی باشد که معمولاً قفل هستند.

تحویل محموله:

پس از غیرفعال شدن سیستم های امنیتی و آسیب پذیری مناسب شبکه ، بار تحویل می شود. این ممکن است شامل نصب باج افزار در شبکه ، استقرار keyloggers ، استفاده از ماشین آلات در معرض خطر برای توزیع هرزنامه ، سرقت داده های حساس یا نصب درهای پشتی باشد که می توانند برای حملات بعدی استفاده شوند.

چگونه می توان دسترسی ریموت ویندوز RDP را از حمله کنندگان باج افزار محافظت کرد؟

بهترین روش ها برای امنیت RDP

RDP همیشه باید غیرفعال شود مگر اینکه ضروری باشد. برای سازمانهایی که به RDP نیاز دارند ، بهترین روشهای زیر ممکن است برای ایمن سازی RDP در برابر حملات بی رحمانه مفید باشد.

از VPN استفاده کنید:

همانطور که گفته شد ، خطرات امنیتی جدی هنگام باز بودن RDP به اینترنت ایجاد می شود. در عوض ، سازمان ها باید از VPN استفاده کنند تا به کاربران از راه دور اجازه دسترسی ایمن به شبکه شرکتی را بدون قرار دادن سیستم هایشان در کل اینترنت دهند.

از رمزهای عبور قوی استفاده کنید:

بیشتر حملات مبتنی بر RDP به شکستن اعتبار ضعیف اعتماد دارند. به همین ترتیب ، سازمان ها باید استفاده از رمزهای عبور قوی را در تمام پایانه های سرویس گیرنده و سرور RDP اعمال کنند. رمزهای عبور باید طولانی ، منحصر به فرد و تصادفی باشند.


از احراز هویت چند عاملی استفاده کنید:

حتی قوی ترین رمزهای عبور نیز می توانند به خطر بیفتند. احراز هویت چند عاملی (MFA) گرچه غیرقابل خطا نیست ، اما با درخواست از کاربران برای ارائه حداقل دو شکل احراز هویت (مانند کد یکبار مصرف یا اعلان بیومتریک) برای ورود به جلسه RDP ، یک لایه محافظت اضافی ایجاد می کند.


استفاده از فایروال برای محدود کردن دسترسی:

از فایروال می توان برای محدود کردن دسترسی RDP به آدرس IP خاص یا دامنه آدرس های IP استفاده کرد.


استفاده از دروازه RD:

سرور دروازه RD ، ویژگی موجود در تمام نسخه های Windows Server از ویندوز سرور 2008 ، برای ساده سازی استقرار RDP و مدیریت امنیت بسیار مفید است.


مسدود کردن IP هایی که چندین تلاش برای ورود به سیستم را انجام نمی دهند:

تعداد زیادی از تلاش های ناموفق برای ورود به سیستم در مدت زمان کوتاه معمولاً نشان دهنده حمله بی رحمانه است. از خط مشی های حساب Windows می توان برای تعریف و محدود کردن تعداد دفعاتی که کاربر می خواهد برای ورود به RDP وارد شود ، استفاده شود. نرم افزار محافظت Emsisoft هنگام شناسایی چندین تلاش ناموفق برای ورود به سیستم ، به طور خودکار به مدیران هشدار می دهد.


محدود کردن دسترسی از راه دور:

اگرچه همه سرپرستان به طور پیش فرض می توانند از RDP استفاده کنند ، اما این احتمال وجود دارد که بسیاری از این کاربران برای انجام کار خود به دسترسی از راه دور نیازی نداشته باشند. سازمان ها باید همیشه از اصل حداقل امتیازات پیروی کنند و دسترسی RDP را فقط به افرادی که به آن نیاز واقعی دارند محدود کنند.


پورت گوش دادن RDP را تغییر دهید:

مهاجمان معمولاً با اسکن اینترنت برای رایانه هایی که از پورت پیش فرض RDP گوش می دهند (TCP 3389) اهداف بالقوه را شناسایی می کنند. در حالی که تغییر درگاه گوش دادن از طریق رجیستری ویندوز می تواند به سازمانها کمک کند “اتصالات آسیب پذیر را” پنهان کنند ، اما از حملات RDP محافظت نمی کند و بنابراین باید فقط به عنوان یک تکنیک تکمیلی مورد استفاده قرار گیرد.

 

حملات باج افزار هنگامی که به شما ضربه وارد کرد، دیگر تجارت شما مانند گذشته نخواهد بود

 

ده تا از جدیدترین و خطرناکترین ویروس و تهدیدات مخرب در سال 2020

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code