هشدار Sophos نسبت به انتشار باجافزارها از طریق پودمان RDP
محققان شرکت Sophos در خصوص سوءاستفاده تبهکاران سایبری از پودمان RDP به منظور انتشار باجافزارها هشدار دادهاند.
به گزارش شرکت مهندسی شبکه گستر، پودمان RDP یا Remote Desktop Protocol قابلیتی در سیستم عامل Windows است که امکان اتصال از راه دور کاربران تعیین شده را به دستگاه فراهم میکند.
علاوه بر مدیران شبکه که از این پودمان برای اتصال به سرورها و ایستگاههای کاری سازمان استفاده میکنند، در بسیاری از سازمانهای کوچک و متوسط نیز از RDP برای برقرار نمودن ارتباط از راه دور پیمانکاران حوزه IT، به سرورهایی همچون حقوق و دستمزد، اتوماسیون اداری و غیره استفاده میشود.
بر اساس تحقیقات انجام شده توسط شرکت امنیتی Sophos، تبهکاران از ابزارهایی همچون Shodan برای شناسایی سرورهای با درگاه RDP باز بر روی اینترنت استفاده کرده و در ادامه با بکارگیری ابزارهایی نظیر NLBrute اقدام به اجرای حملات موسوم به Brute Force میکنند.
هدف از اجرای حملات Brute Force رخنه به دستگاه از طریق پودمانی خاص – در اینجا RDP – با بکارگیری ترکیبی از نامهای کاربری و رمزهای عبور رایج است. بنابراین در صورتی که دسترسی به پودمان RDP از طریق کاربری با رمز عبور ساده و غیرپیچیده باز شده باشد مهاجمان نیز به راحتی امکان اتصال به دستگاه را خواهند داشت.
در صورت فراهم شدن اتصال، مهاجمان نرمافزاری را بر روی سرور اجرا کرده و از آن برای دستدرازی به تنظیمات و سرویسهای نرمافزارهای ضدبدافزار، پشتیبانگیری و پایگاه داده نصب شده بر روی آن استفاده میکنند. در ادامه نیز فایل مخرب باجافزار را دریافت کرده و بر روی سرور به اجرا در میآورند.
برای نمونه، محققان شرکت Sophos در جریان بررسیها سروری را یافتهاند که بر روی آن پوشهای حاوی 4 نسخه مختلف از باج افزار کپی شده بوده.
پیشتر نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) در چندین اطلاعیه نسبت به حمله باج گیران سایبری به سرورهای ایرانی از طریق پودمان RDP هشدار داده بود.
رعایت موارد زیر برای جلوگیری و پیشگیری از اجرای موفقیتآمیز چنین حملاتی توصیه میشود:
- در صورت عدم نیاز به پودمان RDP از غیرفعال بودن آن اطمینان حاصل کنید.
- برای اتصال از راه دور کارکنان و پیمانکاران سازمان ترجیحاً از پودمان VPN یا Virtual Private Network استفاده کنید.
- در صورت امکان از اصالتسنجی دو مرحلهای (2FA) بهره بگیرید.
- اصلاحیه های امنیتی را در اولین فرصت نصب کنید.
- در Group Policy، تنظیمات Account Lockout Policy را حتماً فعال کنید.
- در همه جا از رمزهای عبور پیچیده استفاده کنید.
همچنین تاکید میشود که پس از مورد حمله قرار گرفتن سرور، تغییرات اعمال شده بر روی دستگاه با دقت بررسی شده و تمامی تنظیمات امنیتی و حساس مورد بازبینی قرار گیرند.