مسدود کردن پروتکل ریموت دسکتاپ (RDP)
پروتکل RDP یا Remote Desktop Protocol که با عناوین دیگری نظیر خدمات ترمینال (Terminal Services) یا سرویس دسکتاپ از راه دور (Remote Desktop Service) نیز شناخته می شود، به کاربران اجازه میدهد تا از راه دور به کامپیوتر دیگری متصل شوند و همان تجربه کاربری را داشته باشند که گویی حضور فیزیکی دارند.
علاوه بر مدیران و راهبران شبکه که این پروتکل را برای اتصال به سرورها و ایستگاههای کاری سازمان به کار میگیرند، در بسیاری از سازمانهای کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه فناوری اطلاعات، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده میشود.
این قابلیت به علت سهولت بکارگیری بسیار محبوب است و به هر کسی اجازه میدهد که به سادگی سیستمی را از راه دور مدیریت کند همچون یک ارائه دهنده خدمات مدیریت شده (Managed Service Provider) که برای مدیریت سرورهای مشتریان یا یک دندانپزشک برای دسترسی به سیستم مطب خود از خانه از این پروتکل استفاده میکند.
این پروتکل به طور اختصاصی متعلق به شرکت مایکروسافت است و طبق گزارش Active Adversary Playbook 2021 شرکت سوفوس (.Sophos, Ltd) در سال 2021، در 32 درصد از حملات، از پروتکل RDP جهت دسترسی به سازمانهای متصل به اینترنت سوءاستفاده شده است. پروتکل مذکور را به عنوان روش شماره یک بکارگرفته شده توسط مهاجمان جهت نفوذ و دسترسی اولیه رتبهبندی کردهاند.
برخلاف برخی دیگر از ابزارهای دسترسی از راه دور، RDP معمولاً به چیزی فراتر از نام کاربری و رمز عبور نیاز ندارد و اغلب نام کاربری برای سهولت در ورود بعدی به سیستم، در معرض نمایش گذاشته میشود. حتی پروتکل RDP در طول زمان شامل آسیبپذیریهایی شده که امکان دسترسی بدون نام کاربری و رمز عبور را نیز فراهم میکند.
چارچوب MITRE ATT&CK که مخفف Adversarial Tactics, Techniques, and Common Knowledge بوده و توسط MITRE Corporation ارائه شده، یک پایگاهدانش در حال رشد است که تاکتیکها و تکنیکهای مهاجمان را براساس حملات مشاهده شده در دنیای واقعی شناسایی نموده و در دسترس همگان قرار میدهد.
این چارچوب هم برای مهاجمان و هم برای مدافعان سایبری قابل فهم بوده و در موقعیتهای بسیاری مثل تشخیص نفوذ، شکار تهدید، مهندسی امنیت، هوش تهدید و مدیریت ریسک مورد استفاده قرار میگیرد.
در چارچوب مذکور، مکانیزمهای بکارگرفته شده توسط مهاجمان در RDP ارائه شده است که اصلیترین آن T1133 (سرویس از راه دور خارجی) است. سایر تکنیکهای MITER ATT&CK که در RDP استفاده میشوند عبارتند از:
- T1563، هایجک RDPو(RDP Hijacking)
- T1021، توسعه دامنه آلودگی با سوءاستفاده از RDPو(Lateral Movement using RDP)
- T1572، تونل زدن به شبکه با سوءاستفاده از RDPو(RDP Tunneling)
- T1573، کنترل و فرماندهی با سوءاستفاده از RDPو(Command and Control over RDP)
- T1078، بکارگیری حسابهای کاربری معتبر با سوءاستفاده از RDPو(Using Valid Accounts with RDP)
- T1049، کشف اتصالات شبکه سیستم (System Network Connections Discovery)
- T1071، پروتکل لایه کاربردی (Application Layer Protocol)
هنگامی که مهاجم با موفقیت وارد یک Session از RDP شد، میتواند آلودگی را توسعه داده و به کل سیستم نفوذ کند و حتی امنترین مرکز داده در جهان نمیتواند از نظر فیزیکی کمکی کند.
پیشگیری از حملات RDP فقط یک راهحل ساده دارد، RDP را در معرض دید قرار ندهید.
پورت TCP:3389 روی فایروال خود را به هر چیزی فوروارد نکنید و تصور نکنید که استفاده از یک پورت متفاوت دیگر، کمککننده است. محققان، دوازده هزار RDP را بر روی پورت 3388 شناسایی کردهاند.
سرورهای با RDP باز بهسادگی از طریق جستجوگرهایی همچون Shodan قابل شناسایی هستند. آمار موتور جستجوگر Shodanو(Shodan.IO) بیش از 3.3 میلیون پورت RDP 3389 را نشان میدهد که در سطح جهانی بر روی اینترنت قابل دسترس هستند و به راحتی یافت میشوند و ممکن است هر یک از آنها مورد نفوذ مهاجمان قرار گرفته یا در آیندهای نزدیک قرار بگیرند.
راهکار مقابله با سوءاستفاده از RDP بسیار ساده است. اگر دسترسی از راه دور و RDP مورد نیاز است، این پروتکل را فقط باید از طریق یک اتصال VPN امن همراه با احراز هویت چند عاملی جهت اتصال از راه دور به شبکه شرکت استفاده نمود. همچنین میتوان از طریق یک Gateway دسترسی از راه دور مبتنی بر اعتماد-صفر (Zero-trust) پروتکل RDP را بکار گرفت.
برای کسب اطلاعات بیشتر و راههای مقابله با سوءاستفاده از RDP، مطالعه مقالات زیر توصیه میشود:
