Tin tặc có khả năng khai thác gần như bất kỳ lỗ hổng nào đặt ra một trong những thách thức lớn nhất đối với việc thực thi pháp luật - và đối với các doanh nghiệp nhỏ. Cục Điều tra Liên bang gần đây đã đưa ra cảnh báo cho các doanh nghiệp và những người khác về một mối đe dọa khác. Tin tặc đã bắt đầu khai thác Giao thức máy tính từ xa (RDP) để thực hiện các hoạt động độc hại với tần suất lớn hơn.
Theo FBI, việc sử dụng Remote Desktop Protocol làm vectơ tấn công đã tăng từ giữa đến cuối năm 2016. Sự gia tăng các cuộc tấn công RDP một phần được thúc đẩy bởi các thị trường tối bán quyền truy cập Giao thức máy tính từ xa. Các tác nhân xấu này đã tìm ra cách để xác định và khai thác các phiên RDP dễ bị tổn thương qua Internet.
$config[code] not foundĐối với các doanh nghiệp nhỏ sử dụng RDP để điều khiển máy tính tại nhà hoặc văn phòng của họ từ xa, cần thận trọng hơn bao gồm thực hiện mật khẩu mạnh và thay đổi chúng thường xuyên.
Trong thông báo của mình, FBI cảnh báo, Tấn công tấn công bằng giao thức RDP không yêu cầu đầu vào của người dùng, khiến cho việc xâm nhập trở nên khó khăn.
Giao thức máy tính từ xa là gì?
Được thiết kế để truy cập và quản lý từ xa, RDP là phương pháp của Microsoft để đơn giản hóa việc truyền dữ liệu ứng dụng giữa người dùng máy khách, thiết bị, máy tính để bàn ảo và máy chủ đầu cuối Giao thức máy tính từ xa.
Nói một cách đơn giản, RDP cho phép bạn điều khiển máy tính từ xa để quản lý tài nguyên và truy cập dữ liệu. Tính năng này rất quan trọng đối với các doanh nghiệp nhỏ không sử dụng điện toán đám mây và dựa vào máy tính hoặc máy chủ của họ được cài đặt tại cơ sở.
Đây không phải là lần đầu tiên RDP trình bày các vấn đề bảo mật. Trước đây, các phiên bản đầu tiên có các lỗ hổng bảo mật khiến chúng dễ bị tấn công từ người trung gian, cho phép kẻ tấn công truy cập trái phép.
Từ năm 2002 đến 2017, Microsoft đã ban hành các bản cập nhật khắc phục 24 lỗ hổng lớn liên quan đến Giao thức máy tính từ xa. Phiên bản mới an toàn hơn, nhưng thông báo của FBI chỉ ra rằng các tin tặc vẫn đang sử dụng nó như một véc tơ cho các cuộc tấn công.
Hack giao thức máy tính từ xa: Các lỗ hổng
FBI đã xác định một số lỗ hổng - nhưng tất cả bắt đầu với mật khẩu yếu.
Cơ quan này cho biết nếu bạn sử dụng các từ trong từ điển và bạn không bao gồm sự kết hợp của chữ hoa và chữ thường, số và ký tự đặc biệt, mật khẩu của bạn dễ bị tấn công từ điển và từ điển.
Giao thức máy tính từ xa đã lỗi thời sử dụng giao thức Nhà cung cấp hỗ trợ bảo mật thông tin xác thực (CredSSP) cũng có các lỗ hổng. CredSSP là một ứng dụng ủy nhiệm thông tin xác thực của người dùng từ máy khách đến máy chủ đích để xác thực từ xa. Một RDP lỗi thời cho phép có khả năng khởi động các cuộc tấn công trung gian.
Các lỗ hổng khác bao gồm cho phép truy cập không hạn chế vào cổng Giao thức máy tính từ xa mặc định (TCP 3389) và cho phép các lần thử đăng nhập không giới hạn.
Hack giao thức máy tính để bàn từ xa: Các mối đe dọa
Đây là một số ví dụ về các mối đe dọa được liệt kê bởi FBI:
Ransomware CrySiS: Phần mềm ransomware CrySIS chủ yếu nhắm vào các doanh nghiệp Hoa Kỳ thông qua các cổng RDP mở, sử dụng cả tấn công từ điển và tấn công từ điển để có được quyền truy cập từ xa trái phép. CrySiS sau đó thả phần mềm ransomware của mình vào thiết bị và thực thi nó. Các tác nhân đe dọa yêu cầu thanh toán bằng Bitcoin để đổi lấy khóa giải mã.
Tiền chuộc tiền điện tử: Phần mềm ransomware CryptON sử dụng các cuộc tấn công vũ phu để có quyền truy cập vào các phiên RDP, sau đó cho phép một tác nhân đe dọa thực hiện thủ công các chương trình độc hại trên máy bị xâm nhập. Các tác nhân mạng thường yêu cầu Bitcoin để đổi lấy các hướng giải mã.
Samsam Ransomware: Samsam ransomware sử dụng một loạt các khai thác, bao gồm cả những máy tấn công các máy hỗ trợ RDP, để thực hiện các cuộc tấn công vũ phu. Vào tháng 7 năm 2018, các diễn viên đe dọa Samsam đã sử dụng một cuộc tấn công vũ phu vào thông tin đăng nhập RDP để xâm nhập vào một công ty chăm sóc sức khỏe. Các ransomware đã có thể mã hóa hàng ngàn máy trước khi phát hiện.
Trao đổi web tối: Các tác nhân đe dọa mua và bán thông tin đăng nhập RDP bị đánh cắp trên Dark Web. Giá trị của thông tin đăng nhập được xác định bởi vị trí của máy bị xâm nhập, phần mềm được sử dụng trong phiên và bất kỳ thuộc tính bổ sung nào làm tăng khả năng sử dụng của các tài nguyên bị đánh cắp.
Hack giao thức máy tính từ xa: Làm thế nào bạn có thể tự bảo vệ mình?
Điều quan trọng là phải nhớ bất cứ khi nào bạn cố gắng truy cập một cái gì đó từ xa có nguy cơ. Và vì Remote Desktop Protocol kiểm soát hoàn toàn một hệ thống, bạn nên điều tiết, giám sát và quản lý những người có quyền truy cập chặt chẽ.
Bằng cách thực hiện các thực tiễn tốt nhất sau đây, FBI và Bộ An ninh Nội địa Hoa Kỳ nói rằng bạn có cơ hội tốt hơn để chống lại các cuộc tấn công dựa trên RDP.
- Cho phép mật khẩu mạnh và chính sách khóa tài khoản để bảo vệ chống lại các cuộc tấn công vũ phu.
- Sử dụng xác thực hai yếu tố.
- Áp dụng cập nhật hệ thống và phần mềm thường xuyên.
- Có một chiến lược sao lưu đáng tin cậy với một hệ thống phục hồi mạnh mẽ.
- Cho phép ghi nhật ký và đảm bảo cơ chế ghi nhật ký để nắm bắt thông tin đăng nhập Giao thức máy tính từ xa. Giữ các bản ghi tối thiểu 90 ngày. Đồng thời, xem lại thông tin đăng nhập để đảm bảo chỉ những người có quyền truy cập mới sử dụng chúng.
Bạn có thể xem phần còn lại của các khuyến nghị ở đây.
Tiêu đề của vi phạm dữ liệu là trong tin tức thường xuyên, và nó đang xảy ra cho các tổ chức lớn với nguồn lực dường như không giới hạn. Mặc dù dường như không thể bảo vệ doanh nghiệp nhỏ của bạn khỏi tất cả các mối đe dọa trên mạng, bạn có thể giảm thiểu rủi ro và trách nhiệm nếu bạn có các giao thức phù hợp với sự quản trị chặt chẽ cho tất cả các bên.
Hình: FBI
