Русский язык
Українська мова
Интернет-магазин лицензионного
5 советов для обеспечения безопасности бизнеса
23 октября 2017
Разве все ваши сотрудники работают в одном и том же здании? Нет. Благодаря современным технологиям растет число удаленных рабочих. Аутсорсинг и облачные системы дают вам возможность нанимать сотрудников из любой точки мира. Это очень важно для малых и средних предприятий, которые могут использовать навыки высококлассных специалистов, где бы они ни находились, и все благодаря доступным каждому инновационным IT-системам.
Для контроля и управления сетями, поддерживающих такой тип работы, многие малые и средние предприятия полагаются на внештатные команды технической поддержки, использующие протокол удаленного рабочего стола (RDP) для диагностики и устранения сетевых проблем. RDP обеспечивает безопасную сетевую связь между терминальным сервером и клиентом терминального сервера. Он широко используется сетевыми администраторами для удаленного доступа к виртуальным рабочим столам и приложениям.
Но безопасен ли RDP? Незащищенные удаленные рабочие столы могут быть использованы хакерами в своих целях. К сожалению, многие компании пренебрегают элементарными правилами информационной безопасности, результат чего может стать большой проблемой.
Из этой статьи вы узнаете, как работают RDP-атаки и что вы можете сделать, чтобы защитить вашу компанию от такого типа хакерских атак. Если вы не хотите стать следующей жертвой киберпреступников, настоятельно рекомендуем дочитать все до конца.
Что такое Brute force-атаки через RDP протокол?
Представьте себе взломщика, у которого есть брелок с несколькими сотнями тысяч ключей на нем. Преступник использует ключи один за другим, пытаясь открыть входную дверь. Чем надежнее ваш замок, тем дольше преступник будет подбирать ключ. Однако рано или поздно он, вероятно, найдет правильный ключ, и как только взломщик попадет внутрь, он сможет делать все, что хочет, - отключить вашу сигнализацию, украсть ваши драгоценности, разрушить ваш дом или поменять замок в ваш дом, чтобы не смогли попасть туда, не заплатив преступнику. Примерно это и происходит во время RDP-атаки.
При атаке RDP Brute force, хакеры применяют сетевые сканеры, такие как Masscan (который может сканировать весь Интернет менее чем за шесть минут) для определения диапазонов портов IP и TCP, используемых серверами RDP. После отслеживания одного из них преступники пытаются получить доступ к машине (как правило, администраторского уровня), используя инструменты грубой силы, которые автоматически пытаются входить в систему снова и снова, перебирая бесчисленные комбинации логинов и паролей пользователя. За это время производительность сервера может заметно упасть, поскольку атаки потребляют большое количество системных ресурсов.
После нескольких часов, дней или даже недель систематических проб и ошибок, хакеры могут в конечном итоге угадать имя пользователя и пароль, то есть, получить доступ к серверу. И как только он появится – начинается катастрофа.
Почему хакеры используют для атаки именно протокол RDP?
Как только у злоумышленника появляется доступ к RDP, он может делать все, что ему угодно в пределах привилегий взломанной учетной записи. Если был получен администраторский доступ, то возможности преступников возрастают в несколько раз: они смогут отключать антивирусы и прочие компоненты системы защиты, устанавливать вредоносное ПО, красть важные данные, шифровать файлы и многое другое. Только представьте, насколько отрицательно это отразится на работе и репутации компании, что в свою очередь приведет к потерям финансов и производительности. Некоторые преступники просто хотят разрушить вашу IT-систему, устроить в ней хаос, но большинство все же имеет определённые цели, ради которых и планируется RDP-атака.
Какими могут быть эти цели?
Вымогательство
Наиболее опасное вредоносное ПО чаще всего распространяется именно через атаки RDP. По данным статистики, в первом квартале 2017 года целых две трети оставили RDP-атаки, в которых участвовали вирусы-вымогатели. После взлома хакерам достаточно просто зашифровать системные файлы и потребовать от своих жертв выкупа, который обычно огромен. В сентябре 2016 года хакеры использовали протокол удаленного рабочего стола для заражения предприятий в Австралии с помощью Crysis ransomware.
Хищение ценной информации
Если цель преступников, например, - получение доступа к каким-то определенным данным, защищенным паролем, то RDP-атака используется для установки кейлоггера. Клавиатурный червь, или кейлоггер, - это совсем небольшой фрагмент вредоносного ПО, который незаметно работает в фоновом режиме и отслеживает каждую клавишу, нажимаемую пользователем. Это может быть использовано для сбора частных данных (информации о кредитных картах, паролей, конфиденциальной информации о компании и многое другое).
Нарушение работы IT-структуры
Некоторые атаки RDP не имеют четкой цели, то есть, происходит бессмысленное уничтожение IT-структуры. Банальная скука или жажда славы могут заставить хакера проникнуть в систему вашей компании, бросить, так сказать, вызов. В этом случае преступник попытается украсть или удалить ваши данные, воспользоваться вашим сервером для распространения вредоносного ПО.
В конце 2016 года хакеры использовали атаки RDP для взлома систем и скрытой активации вредоносного ПО, известного как Trojan.sysscan. Троян провел сканирование зараженного устройства на предмет cookie-файлов, относящихся к проведению банковских онлайн-операций, гэмлблингу; веб-сайтов, связанных с налоговыми выплатами, и программного обеспечения для онлайн-торговли, а также извлек имена пользователей и пароли, что и позволило преступникам заполучить огромное денежные суммы.
Но независимо от конечной цели хакера, представитель любой бизнес-категории ощутит последствия таких атак.
Способы защиты компании от атак RDP brute force
Предупрежден – значит вооружен. Уже отмечалось, что после того, как хакер получил доступ к системе вашей компании, он может легко изменять ее по своему усмотрению. Это значит, что проще всего именно предотвратить взлом через протокол RDP, а не устранять его. Существует несколько способов предотвращения стороннего проникновения в систему:
1. Правильно составленный пароль и имя пользователя
Простейшая и самая эффективная вещь, которую вы можете сделать, чтобы не стать жертвой атаки грубой силы, - это изменить ваши данные для входа. Поменяйте имя вашей учетной записи на нечто более сложное, чем «Администратор» (стоит по умолчанию). Это сделает подбор реквизитов вдвойне труднее для киберпреступников, так как помимо пароля им придется подбирать еще и логин. Перед настройкой новой учетной записи администратора вам нужно отключить существующую. Также необходимо, чтобы пароль был достаточно сложным: чем длиннее, тем лучше; обладать высокой уникальностью, содержать в себе цифры, символы и буквы верхнего и нижнего регистра.
2. Установка ограничений удаленного доступа
Чтобы снизить риск атаки, установите ограничение на количество людей, которые могут войти в систему, используя RDP. Каждый сотрудник, у кого есть доступ уровня «Администратор», может войти в систему по протоколу удаленного рабочего стола по умолчанию. Но, скорее всего, далеко не всем им необходимы данные привилегии для выполнения своей работы. Откройте доступ к RDP только тем, кто действительно нуждается в этом, чтобы повысить уровень безопасности вашей системы.
3. Редактирование RDP-порта
При сканировании Интернета хакеры часто ищут подключения, использующие стандартный порт RDP (TCP 3389). Теоретически это означает, что вы можете «спрятать» ваше RDP-соединение, изменив порт прослушивания.
Для этого воспользуйтесь реестровым редактором Windows, чтобы изменить данный подраздел:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
Внимание: неправильное редактирование реестра может привести к серьезным проблемам. Всегда делайте резервную копию своего реестра перед внесением изменений и не пытайтесь редактировать его, если вы не уверены в своих действиях. Стоит отметить, что, скрывая порт, вы не получаете гарантию защиты системы от взлома. Многие современные сканеры автоматически проверяют все порты соединений RDP, а не только TCP 3389. Однако данный метод все же может быть полезен для предотвращения проникновения в систему через RDP.
4. Политика блокировки учетной записи
Как уже упоминалось выше, для подбора верного пароля/логина требуется сотни, тысячи или даже миллионы попыток входа в систему. Вы можете замедлить атаки, установив простую политику, которая блокирует пользователей после определенного количества попыток за какое-либо время.
5. Шлюз RDP
С шлюзом RDP сетевое управление становится в разы лучше благодаря замене удаленного пользовательского доступа на соединение point-to-point RDP. Это позволяет определить, кто сможет подключиться, к каким ресурсам он имеет доступ, какой тип идентификации пользователя требуется использовать и т.д. Профилактика как известно - лучшее лекарство. Так что, советуем выбрать одно из самых популярных решений для обеспечения безопасности, которое способно помочь оперативно выявить и удалить вредоносное программное обеспечение, которое активируют хакеры после проникновения в вашу систему. Тем не менее, в большинстве случаев киберпреступники могут отключить брандмауэр, антивирус и другое ПО, отвечающее за IT-безопасность. Ввиду этого далеко не каждый антивирусный продукт имеет возможность противостоять RDP-атаке.