התקפת כופר דרך RDP מצפינה קבצים ומשנה סיומת ל arena - כיצד להתגונן?
במהלך 4 השנים האחרונות עסקים בישראל חווים גל אחרי גל של התקפות כופר באמצעות פרוטוקול RDP לחיבור מרחוק.
הוצאנו כבר מספר עדכונים בנושא, אך נראה שעדיין כמעט מידי סוף שבוע מותקפות חברות שמשאירות את חיבור ה RDP פתוח לחיבור מרחוק.
הגל האחרון שתקף במהלך סוף השבוע היה של נוזקת כופר ותיקה בשם Crysis, שבגרסה החדשה שלה משנה את סיומת הקבצים ל arena.
מדובר בגרסה חדשה של Crysis שעדיין לא קיים עבורה כלי שמסוגל לפתוח את ההצפנה.
כאשר מתבצעת התקפה דרך פרוטוקול RDP על עסק, מנסים התוקפים להתחבר באמצעות יישום של פירצת אבטחה בפורטוקול RDP – במקרה ולא בוצעו עדכוני מיקרוסופט רלוונטיים, לא יהיה אפילו צורך לתוקפים לפרוץ את הסיסמה.
במידה וקיימים עדכוני האבטחה של מיקרוסופט, ינסו התוקפים לפרוץ את הסיסמה באמצעות התקפת Bruteforce אשר עושה שימוש בטבלאות המכילות עשרות אלפי צירופים אפשריים של סיסמאות.
מה הבעיה בפריצה דרך RDP?
- כאשר התוקף מקבל גישה לשרת עם הרשאות מנהל של הדומיין, הוא יכול להסיר תוכנות אבטחה כמו אנטי וירוס ואז להפעיל את נוזקת הכופר בצורה ידנית בכל שרת או תחנה ברשת.
- גם אם התוקף לא הסיר את ESET, הוא יכול לנטרל אותה ידנית לזמן מסוים או עד לאתחול של השרת\תחנה.
- כאשר תוקף מחובר לשרת בתור מנהל, הוא יכול להפעיל מקומית כלי פריצה על מנת לנסות לנטרל את ESET.
- בתסריט קיצוני התוקף יכול גם להעלות את השרת במצב בטוח כדי להפעיל את כלי ההסרה של ESET ולהסיר ללא צורך בסיסמה.
מה ניתן לעשות כדי להקשות על הסרה או נטרול של ESET?
- מומלץ ליישם מדיניות אבטחה עבור כלל השרתים והתחנות הכוללת סיסמת הגדרות, שלא תאפשר הסרה או נטרול של ESET.
- על מנת למנוע הפעלה של כלי פריצה מומלץ לאפשר זיהוי וחסימה של אפליקציות שאינן בטוחות Potentially Unsafe Applications.
חשוב לעקוב אחר ההמלצות שלנו לאבטחת הרשת בפני התקפות כופר דרך RDP.
ההמלצות מסודרות על פי סדר, מהמומלצת ביותר עד להכי פחות מומלצת:
- הגדרת מדיניות אבטחה בממשק הניהול של ESET - שני הנושאים של סיסמת הגנה וזיהוי כלי פריצה מטופלים בצורה של הגדרת מדיניות עבור שרתים ותחנות, כפי שמוסבר במאמר הטכני הבא.
- נטרלו את פרוטוקול ה RDP בחיבור מחוץ לרשת – הדרך הטובה ביותר להתגונן בפני פריצה לרשת דרך RDP היא כמובן סגירה שלו. ניתן להשתמש בתוכנות חלופיות לחיבור מרחוק כאשר הצורך עולה.
- הגדירו חיבור VPN מחוץ לרשת – אם בכל זאת יש תוכנות או שירותים שדורשים חיבור ב RDP, ניתן להגדיר VPN שיש להתחבר אליו קודם לחיבור ב RDP מחוץ לרשת.
- הגדירו חיבור באמצעות 2FA – חיבור באמצעות אימות דו שלבי מונע התקפות bruteforce על הסיסמה של ה RDP.
ניתן להשתמש ב ESET Secure Authentication. - אבטחו את נקודות החיבור - חשוב לשלוט באבטחה של המחשבים שמאופשרים לחיבור
- הקשיחו את אבטחת ה RDP (לא מומלץ להשתמש ב RDP!) – כאשר משאירים RDP פתוח לחיבור מחוץ לרשת ללא VPN או אימות דו שלבי, ניתן להקשיח את האבטחה, אבל חשוב להבין שגם הקשחה אינה מונעת פריצה.
מספר אמצעים להקשחת חיבור ה RDP (אם בכל זאת החלטתם לפעול בניגוד להמלצתנו):
- הגדרת סיסמה מורכבת - בעלת לפחות 13 תווים שמורכבים מאותיות קטנות וגדולות, מספרים ותווים מיוחדים.
- החלפת הפורט ברירת המחדל 3389 – ניתן להחליף בחומת האש את חיבור ה RDP לפורט הגבוה מ 50,000 על מנת להקשות על סריקת הפורטים.
- הגדרת כתובות IP מהן מותר החיבור - ניתן להגדיר בחומת האש כתובות IP אשר רק מהן יתאפשר חיבור RDP, כמובן שיש לקחת בחשבון שמשתמשים ביתיים הם לא בעלי כתובות IP קבועות.
- הגדרת מדיניות – ניתן להגדיר מקומית בשרת או באמצעות GPO לכל המשתמשים ברשת חסימת משתמש לאחר מספר נסיונות חיבור כושלים ברצף.
ניתן להגדיר בהתאם למדריך של מיקרוסופט. - הפעלת כלי להגנת RDP – קיים כלי חינמי שיודע לאתר נסיונות חיבור כושלים ברצף, ולחסום בצורה אוטומטית את כתובות ה IP מהן מגיעה ההתקפה. הכלי הוא כלי קוד פתוח באחריות המשתמש.
ניתן להורידו כאן. - יישום עדכוני אבטחה עבור RDP - מאז שנת 2002 יצאו 20 עדכוני אבטחה שונים של מיקרוסופט שעוסקים ב RDP, ולפחות 24 פרצות שונות שכוסו באותם העדכונים. חשוב לוודא שהעדכונים הנ"ל קיימים בכל השרתים והתחנות שבהם מאופשר פרוטוקול RDP:
- MS99-028: Terminal Server Connection Request Flooding Vulnerability
- MS00-087: Terminal Server Login Buffer Overflow Vulnerability
- MS01-052: Invalid RDP Data Can Cause Terminal Service Failure
- MS02-051: Cryptographic Flaw in RDP Protocol can Lead to Information Disclosure
- MS05-041: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
- MS09-044: Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution
- MS11-017: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution
- MS11-061: Vulnerability in Remote Desktop Web Access Could Allow Elevation of Privilege
- MS11-065: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
- MS12-020: Vulnerabilities in Remote Desktop Could Allow Remote Code Execution
- MS12-036: Vulnerability in Remote Desktop Could Allow Remote Code Execution
- MS12-053: Vulnerability in Remote Desktop Could Allow Remote Code Execution
- MS13-029: Vulnerability in Remote Desktop Client Could Allow Remote Code Execution
- MS14-030: Vulnerability in Remote Desktop Could Allow Tampering
- MS14-074: Vulnerability in Remote Desktop Protocol Could Allow Security Feature Bypass
- MS15-030: Vulnerability in Remote Desktop Protocol Could Allow Denial of Service
- MS15-067: Vulnerability in RDP Could Allow Remote Code Execution
- MS15-082: Vulnerabilities in RDP Could Allow Remote Code Execution
- MS16-017: Security Update for Remote Desktop Display Driver to Address Elevation of Privilege
- MS16-067: Security Update for Volume Manager Driver
במידה וכבר נפגעתם או שלקוחות שלכם נפגעו בגל ההתקפות הנוכחי, ניתן להיעזר במדריך שלנו לניקוי הרשת ושחזור הקבצים.