Najbolja ulaznica za #ransomware u 2020.

Prvu demistifikaciju koju bih učinio jest u svezi noseće slike ovog članka. Ne znam iz kojeg razloga, ali uvijek kada pričam ili pišem o nesretnoj pojavi malicioznog programskog koda koji nosi ime Ransomware sjetim se pirata – rekao bih da takva analogija, odnosno poveznica možda ima smisla, ili možda i nema.

Kako god bilo, ovdje bih kratko prošao kroz jedan od najzanimljivijih načina na koji cyber-kriminalci ulaze u IT sustave i rade štetu, a koji je po mnogim statistikama (npr. EMSISOFT) za prošlu 2020. godinu jedan od najvećih (ako ne i najveći) ulaznih vektora.

Što je RDP?

Ukratko, RDP ili Remote Desktop Protocol je računalni komunikacijski protokol koji je razvila tvrtka Microsoft i služi za udaljeno upravljanje većeg dijela inačica operativnih sustava Microsoft Windows, a to uključuje i poslužiteljske verzije (npr. Windows Server 2016). RDP se najčešće koristi u poslovnim okruženjima pomoću kojih administratori izvode upravljanje, podršku, konfiguraciju navedenih operativnih sustava i pratećih usluga navedenih sustava. U nastavku kako izgleda vaš ekran kada vam se netko spoji putem RDP-a na računalo.

Modus operandi cyber-napada na RDP

Važno je napomenuti kako je #COVID-19 situacija i model rada od kuće višestruko povećala broj korištenja ovog protokola putem Interneta, a prema pravilima struke jednostavno izlaganje RDP porta kao javno dostupnu uslugu putem interneta nikako ne bi smjelo biti dozvoljeno.

Koraci napada:

1. Pretraga ili skeniranje dostupnih RDP portova. Ovo je moguće putem niza alata, te je u nastavku naveden shodan.io kao jedan od online servisa za ovakvu pretragu.

2. Pokušaj prijave (log in) u sustav. Najčešće se pokušava prijaviti putem administratorskih generalija – ili prethodnom krađom navedenih generalija, ili pokušajem probijanja lozinke tehnikom brute-forcea.

3. Isključivanje sigurnosnih značajki. Nakon uspješne prijave i ovisno o pravima prijavljenog korisničkog računa hakera, krenut će se u isključivanje antivirusa, brisanje sigurnosnih pričuva (backup) – bolje reći, radit će se isključenje svih sigurnosnih mehanizama koji mogu utjecati na uspješnost isporuke ransomwarea.

4. Isporuka malicioznog softvera i pratećih radnji. Ovo je zadnji korak u kojem se izravno narušava sustav u nekom pogledu, a u našem slučaju ovdje se radi o isporuci ransomwarea i šifriranju svih podataka na temelju kojih će se moći tražiti otkupnina.

Broj napada na RDP u 2020. godini je uvećan za 242 % u odnosu na 2019. (izvor:businesswire.com).

Stanje u Hrvatskoj?

U trenutku pisanja ovog članka, prema Shodan.io pretragama (country:HR port:3389), Republika Hrvatska se sastoji od preko tri tisuće izloženih RDP portova na internetu. Većina rezultata skeniranja dolazi iz Zagreba, ali ukupan broj nije nikako za zanemariti.

Osobno vjerujem da je taj broj veći samo što #shodan to nije “ulovio”.

Kako se obraniti?

S obzirom na to da je ovaj napad više tehničke naravi, svejedno je awareness pristup veliki dio cjelokupne obrane. Taj awareness dio se odnosi na generalije za pristup, odnosno na lozinke. U nastavku bih naveo nekoliko radnji koje čine razliku hoćete li biti hakirani ili ne.

1. VPN (Virtual Private Network). Cijeli članak je baziran na korištenju RDP porta što nije preporuka u bilo kojem slučaju, korištenje VPN-a je možda najispravniji način kako zaštiti pristup IT resursima tvrtke.

2. Vatrozid. #Firewall ili vatrozid kao zaseban uređaj na ulazu u mrežni prostor poslovnog sustava pomaže u ograničavanju pristupa, tj. neomogućavanju pristupa na bilo koju IT uslugu unutar sustava.

3. Sigurna lozinka. Većina napada se bazira na probijanju lozinki, odnosno probijanju jednostavnih lozinki koje je lako pogoditi.

4. Blokiranje IP-ja uslijed višestrukog pokušaja prijave. Ovo znači da ako krivo unesete svoje korisničke podatke više od npr. tri do pet puta, dobit ćete zabranu pristupa na određeni vremenski period. Ovo izravno sprječava napad putem brute-force ili napadom pokušaja i pogreške unosa korisničkog imena i lozinke.

5. Izmjena zadanog RDP porta. Zadani #RDP port je TCP/3389. Moja preporuka, ako već “morate” izložiti RDP na internet učinite to tako da postavite neki netipični broj porta. Imate na izbor preko 65 tisuća portova, a oni iznad broja tisuću pripadaju kategoriji manje poznatih.

6. Implementacija Remote Desktop Gatewaya. Namjena ovakvog rješenja jest upravo da se regulira cijeli sustav pristupa i da taj pristup odvija putem sigurnog protokola (HTTPS). Ovakvo rješenje ćete najčešće vidjeti u većim sustavima, iako iznenađenja ima posvuda.

Primjer ekrana za prijavu koja uključuje popis korisničkih računa sustava. S obzirom na to da je ovo pravi screenshot izostavio sam ključne dijelove po kojima bi se mogao identificirati vlasnik sustava.

Izloženost “starijih sustava” je već svima poznata problematika.

Ovo su samo neki od načina pomoću kojih si možete pomoći ili barem znati o čemu se radi kada je u pitanju ovakva opasnost.

Mislim da su načelno dva uzroka izloženosti ovog porta: slučajno i namjerno. Slučajno kao možda privremeno rješenje administratora za pristup, pa je kasnije zaboravljeno na taj port. Namjerno po mom mišljenju proizlazi iz neznanja pa to IT-jevci učine kako bi riješili neki problem neznajući da to može imati ozbiljne posljedice. Treći, skriveni uzrok neću spominjati (namjerna maliciozna radnja).

U ovom članku sam htio na kratak i možda malo grublji način u kontekstu detalja podići svijest oko ovakve problematike, jer imam klijenata koji su (nažalost) prošli kroz uspješne napade ransomware ovom metodologijom.

Za bilo kakva dodatna pitanja u svezi problematike stojim na raspolaganju.

Leave a comment

Your email address will not be published.