Вирус на удаленном рабочем столе

Обновлено: 24.04.2024

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

Защита RDP от Ransomware

Распространение удалённой работы, аутсорсинга и облачных технологий стирает географические границы, позволяя малым и средним предприятиям задействовать обширный и разнообразный кадровый резерв, полагаться на команды внешней технической поддержки, использующие протокол удалённого рабочего стола (RDP) для диагностики и устранения сетевых проблем. RDP используется сетевыми администраторами для удалённого доступа к виртуальным рабочим столам и приложениям, обеспечивает сетевую связь между терминальным сервером и его клиентом.

Но использование RDP сопряжено с определённым уровнем риска, т.е. неохраняемые удалённые рабочие столы являются любимой точкой входа среди хакеров. К сожалению, многие компании подвергаются риску, не соблюдая следующих простейших мер безопасности .

1. Использование надёжных имён пользователей и паролей.

2. Использование ограничений доступа по протоколу RDP.

3. Использование политики блокировки учётных записей.

4. Использование RDP-шлюза для разделения и контроля доступа.

5. Использование нового RDP-порта вместо стандартного TCP 3389.

В 2020 году организации во всех странах мира стали больше использовать протокол удалённого рабочего стола (RDP) для поддержания непрерывности бизнеса при соблюдении социального дистанцирования.

Однако быстрый переход к удалённой работе также предоставил уникальную возможность группам хакеров-вымогателей. Злоумышленники давно используют уязвимости RDP для своих атак и вымогательства и знают, что многие организации не смогут безопасно внедрить RDP во время массового перехода к работе из дома, потому они продолжают безнаказанно использовать его для новых внедрений и компрометаций. Согласно отчётам McAfee и Atlas VPN количество подключенных к Интернету RDP-портов выросло от 3 миллионов в январе 2020 года до более 4,5 миллионов в марте, в конце 2020 это число будет только расти. А если сравнить данные февраля-марта и марта-апреля 2020, то на фоне пандемии Covid-19 количество атак RDP в США выросло в 3,3 раза. С 10 марта до 15 апреля 2020 года хакеры атаковали США, Испанию, Италию, Германию, Францию, Россию и Китай в общей сложности более 148 миллионов раз.

Что такое RDP- атака методом грубой силы? Как защититься от этой атаки?

Почему злоумышленники используют RDP для развертывания вредоносных программ?

Какие существуют передовые методы предотвращения угроз на основе RDP?

Представьте себе грабителя со связкой, на которой сотни тысяч ключей. Преступник использует ключи один за другим, пытаясь открыть вашу входную дверь. Чем лучше ваш замок, тем больше времени ему потребуется, чтобы попасть внутрь. Однако в итоге он подберет нужный ключ, и как только окажется внутри, то сможет делать то, что захочет — отключить сигнализацию, украсть драгоценности, совершить вандализм или сменить замки и потребовать от вас выкуп, чтобы вернуть вам доступ. Это основная схема простой RDP-атаки.

Преступники, получившие доступ администратора, тоже могут делать всё, что захотят, например, отключить антивирусное ПО, запустить и установить вредоносные программы, украсть данные компании, зашифровать файлы и многое другое. Такой уровень сбоев может повлиять на репутацию, финансы и повседневные операции компании. Хотя некоторые киберпреступники просто хотят создать хаос, многие запускают RDP-атаки с заданными целями, например, используют программы-вымогатели, кейлоггинг, нарушают целостность сети.

При RDP- атаке методом грубой силы хакеры используют сетевые сканеры, например, Masscan, Zmap (на выделенном сервере такой сканер может просканировать весь Интернет за 5-6 минут), для определения диапазонов IP- и TCP-портов, используемых серверами RDP. После отслеживания одного из них хакеры пытаются получить доступ к машине (обычно в качестве администратора) с помощью инструментов грубой силы, которые автоматически пытаются войти в систему снова и снова, используя бесчисленные комбинации имени пользователя и пароля. В это время производительность сервера может снизиться, поскольку атаки потребляют системные ресурсы. После часов, дней или даже недель проб и ошибок хакеры могут в итоге угадать имя пользователя и пароль, и получить доступ к серверу. Как только они окажутся внутри, потенциальный ущерб будет просто катастрофическим.

К сожалению то, что должно было облегчить работу системным администраторам, облегчило "работу" злоумышленникам.

Множество инцидентов и успешных атак вымогателей в основном связаны со взломом систем RDP, открытых в Интернет.

Процесс подобной удалённой атаки выглядит примерно так:

1) Сканируются открытые RDP-порты: злоумышленник использует бесплатные, простые в использовании инструменты сканирования портов, такие как Shodan, Masscan для сканирования всего Интернета на наличие открытых RDP-портов.

2) Выполняется попытка входа в систему: злоумышленник пытается получить доступ к системе (обычно в качестве администратора), используя украденные учетные данные, которые можно приобрести на черном рынке, или инструменты грубой силы, которые систематически пытаются войти в систему, используя все возможные комбинации символов, пока не будут найдены правильные имя пользователя и пароль.

3) Отключается система безопасности: злоумышленник, получив доступ к целевой системе, пытается сделать сеть наиболее небезопасной. В зависимости от привилегий скомпрометированной учетной записи, он попытается отключить антивирусное ПО, удалить резервные копие и изменить параметры конфигурации, которые обычно заблокированы.

4) Доставляется полезная нагрузка: как только злоумышленник отключит систему безопасности и сеть станет достаточно уязвимой, доставляется так называемая "полезная нагрузка". Это может быть установка и распределение по сети программ-вымогателей, развертывание инфостилеров и кейлоггеров, использование скомпрометированных машин для распространения спама, кража конфиденциальных данных, установка бэкдоров, которые можно использовать для будущих атак и прочие "дела".

5) Требуется выкуп, если была установлена программа-вымогатель (шифровальщик, фейк-шифровальщик, zip/rar/7z-вымогатель). На этом сайте представлено более 1600 программ-вымогателей со множеством вариантов, модификаций и ответвлений от первоначальных исходников.

Это самый распространённый пример, в реальности процесс удалённой атаки может быть гораздо шире и изощрённее.

Лучшие практики защиты RDP

Необходимо запомнить, что RDP нужно всегда отключать, если он не нужен для постоянной работы. Для организаций, которым RDP необходим, помогут следующие передовые практики защиты RDP от атак методом грубой силы.

1. Используйте VPN. Серьезные риски безопасности возникают, когда RDP открыт для Интернета. Вместо этого организациям следует использовать VPN, чтобы предоставить безопасный доступ к корпоративной сети только своим удалённым пользователям, не подвергая свои системы доступу ко всему Интернету.

2. Используйте надёжные пароли. Большинство атак на основе RDP основаны на взломе слабых учётных данных. Организации должны обеспечить использование надёжных паролей на всех клиентских и серверных RDP-терминалах. Пароли должны быть длинными, уникальными и случайными.

3. Используйте многофакторную аутентификацию (MFA) . Даже самые надёжные пароли могут быть взломаны. MFA не панацея, но она предлагает дополнительный уровень защиты, требуя от пользователей предоставления как минимум двух форм аутентификации (например, одноразового кода или биометрического уведомления) для входа в сеанс RDP.

4. Используйте брандмауэр для ограничения доступа. Брандмауэр можно использовать для ограничения доступа RDP к определенному IP-адресу или диапазону IP-адресов.

5. Используйте шлюз удалённых рабочих столов. Сервер шлюза удалённых рабочих столов — это функция, доступная во всех версиях Windows Server, начиная с Windows Server 2008, полезна для упрощения развертывания RDP и управления безопасностью.

6. Блокируйте IP-адреса с неудачными попытками входа. Большое количество неудачных попыток входа в систему за короткий промежуток времени указывает на атаку методом грубой силы. Политики учетных записей Windows можно использовать для определения и ограничения количества попыток входа пользователя в RDP.

7. Ограничьте удалённый доступ. Хотя все администраторы могут использовать RDP по умолчанию, более вероятно, что многим из них не нужен удалённый доступ для выполнения своей работы. Организации всегда должны соблюдать принцип наименьших привилегий и разрешать доступ по RDP только тем, кому действительно это нужно для выполения работы.

8. Измените порт прослушивания RDP. Злоумышленники обычно определяют потенциальные цели, сканируя Интернет на предмет компьютеров, прослушивающих RDP-порт по умолчанию (TCP 3389). Хотя изменение порта прослушивания через реестр Windows может помочь организациям "скрыть" уязвимые соединения, оно не обеспечивает защиты от атак RDP и потому должно использоваться только как дополнительный метод.

Вывод

Внезапный переход к работе из дома привел к резкому увеличению числа доступных в Интернете серверов RDP и киберпреступники непременно воспользуются этой возможностью. Поэтому упреждающий подход к безопасности RDP позволит организациям безопасно использовать возможности удалённой работы, сводя к минимуму подверженность угрозам на основе RDP.

MFA - технология "Многофакторная аутентификация" (англ. Multi-factor authentication).

RDP - технология "Протокол удалённого рабочего стола" (англ. Remote Desktop Protocol).

VPN - технология "Виртуальная частная сеть" (англ. Virtual Private Network).

Комментариев нет:

ВНИМАНИЕ.
Новые комментарии проверяются. Всё, кроме спама, вскоре будет опубликовано. Для написания комментария вам нужен Google аккаунт.

ATTENTION.
Your new comment will be moderated. Please do not repeat. The spam will be removed. To post a comment here, you must have a Google account.

Несмотря на то, что решения для удаленного доступа уже много лет успешно работают на рынке и имеют многомиллионную аудиторию, они всегда вызывали у пользователей некоторые опасения в плане безопасности. Некоторые люди и компании принципиально отказывались ими пользоваться. Что ж, в чем-то их страхи оправдались: количество атак через протокол удаленного доступа не просто растет - во время пандемии оно вообще удвоилось. В этой статье расскажем о том, как обнаружить RDP-атаку, как защититься от нее на постоянной основе, а какие методы не настолько эффективны.

До недавнего времени корпоративный поток данных в подавляющем большинстве случаев циркулировал в контролируемой инфраструктуре. Но пандемия вынудила людей в спешке организовывать весь доступ к корпоративной среде в домашних условиях и незащищенных сетях Wi-Fi. Ну а уж любовь пользователей к простым паролям и нелюбовь к двухфакторной авторизации всегда были головной болью безопасников.

Этим немедленно воспользовались киберпреступники. И без того “популярные” атаки через протоколы удаленного доступа с начала строгого карантина пошли лавиной: ежедневно стало регистрироваться почти миллион таких попыток. Самый популярный из протоколов удаленного доступа - проприетарный протокол Microsoft RDP, поэтому такие атаки называют RDP-атаками. Хотя в той или иной степени уязвимо любое решение удаленного доступа.

Статистика

По данным Лаборатории Касперского, с начала марта 2020 года количество атак на RDP скачкообразно увеличилось. ESET в своем отчете говорит о более чем 100 тысячах новых RDP-атак в день - рост более чем в два раза по сравнению с первым кварталом.

Причина, в том числе, не только в переходе на удаленку, но и в спешке - для компаний при переезде “в карантин” главным было добиться работоспособности инфраструктуры, а ее безопасность стояла только второй задачей. Например, опрос специалистов по информационной безопасности, который провели в Positive Technologies, показал, что в связи с пандемией удаленный доступ им пришлось либо экстренно организовывать с нуля (11%), либо срочно масштабировать (41%).

Что такое RDP-атаки

Протокол RDP (Remote Desktop Protocol) - это один из наиболее популярных протоколов для подключения к удаленным рабочим столам, доступный во всех версиях Windows, начиная с XP. Помимо взаимодействия с удаленным компьютером он позволяет подключить к удаленной машине локальные диски, порты и другие устройства. Используется большинством админов Windows-сред для администрирования рабочих мест пользователей и серверов, экономя им много времени.

В протоколе постоянно находили уязвимости, причем так часто, что в 2018 году даже ФБР выпустило специальное предупреждение. В мае 2019 года в старых версиях протокола была обнаружена критическая уязвимость под названием BlueKeep. Всего через месяц после ее появления началась активная волна атак, использующих BlueKeep. Затем в августе того же года в протоколе нашли еще четыре новые уязвимости. Они были связаны не с протоколом RDP, а с сервисом удаленных рабочих столов RDS и позволяли с помощью специального запроса, отправленного через RDP, получить доступ к уязвимой системе, не проходя при этом процедуру проверки подлинности.

RDP-атака - это, по сути, атака brute force, в ходе которой подбирается логин и пароль или ключ шифрования для доступа к RDP путем систематического перебора всех возможных комбинаций символов, пока не будет найден верный вариант. Для длинных паролей может использоваться перебор по словарю, где вместо генерирования комбинации букв и цифр используется длинный список популярных или скомпрометированных паролей.

Цель - получить полный удаленный доступ к нужному компьютеру или серверу и проникнуть через него в корпоративную сеть, обладая всеми соответствующими правами и доступами. Атакующий внедряется в диалог двух систем в момент установления RDP-сессии и, расшифровав пакет, получает полный доступ к удаленной системе, причем без каких-либо нотификаций на стороне клиента или сервера, поскольку у него есть “правильный” сертификат.

А затем начинается собственно атака изнутри системы. Решения безопасности отключаются или удаляются, а затем либо начинается DDoS-атака, либо запускается программа-вымогатель, которая устанавливает пароль на доступ к базам данных с важной для компании информацией. Либо уводятся реальные персональные данные для credential stuffing и фишинга. Также можно использовать плохо защищенный RDP для установки программ для майнинга криптовалют или создания бэкдора (на случай, если несанкционированный доступ к RDP будет обнаружен и закрыт), для установки рекламного или шпионского ПО, SMS-троянов, и так далее. Этим можно полностью заразить все доступные в сети машины.

Существуют скрипты, которые способны по-максимуму использовать права пользователя, который подключается по RDP и всех последующих пользователей в цепочке RDP-подключений. Этот метод получил название RDPInception. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, то скрипт самокопируется в нужные директории и становится возможным атаковать все машины, поскольку при входе в систему выполняются скрипты, расположенные в Startup директории. Все, что подключается в этой цепочке, также может быть заражено.

Почему они опасны?

Плохо защищенное RDP-соединение может обеспечить преступникам доступ ко всей корпоративной системе. Например, зашифровка серверов компании программами-вымогателями, которые потом требуют выкуп, может быть крайне разрушительной для бизнеса. Тут показательна недавняя история очень крупного GPS-вендора Garmin, который был вынужден заплатить вымогателям $10 миллионов - по-другому их специалистам по безопасности решить проблему не удалось.

Технически такие атаки тоже становятся все более опасными. Во-первых, злоумышленники больше не работают точечно, а охватывают большие сегменты сетей.

Во-вторых, время простых атак уже прошло. Преступники используют сложные схемы и комбинируют методы. Так, в трояне TrickBot появился новый модуль rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль уже отметился в ряде атак на крупные компании, в том числе связанными с образованием и финансами.

В-третьих, персональные данные и инструменты для взлома, к сожалению, становятся все более доступными. Например, недавно исходный код Dharma, ransomware-as-a-service ПО, также нацеленного на RDP, выложили для продажи онлайн (извините, ссылку давать не будем). Растет количество утечек баз с паролями и словарей для перебора паролей, упоминавшиеся выше скрипты для взлома можно найти в открытом доступе, и там же есть готовые списки серверов, у которых открыт RDP порт. На рынке есть огромное количество ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль.

Наконец, средств для защиты либо недостаточно для “переборщиков паролей”, либо они не применяются. Часто компании даже не видят, что такая атака уже идет. Они могут заметить низкую производительность и долгое выполнение запросов, но лечат это оптимизацией памяти и другими нерелевантными методами.

Как понять, что RDP-атака началась

Снижается общая производительность, ответы на запросы становятся дольше (причем иногда вы не видите это в трафике - в нем нет ни очевидных всплесков, ни провалов, и нет аномалий в статистике нагрузки на вычислительные ресурсы).

Серверы не принимают соединения со службой удалённого доступа, пользователи не могут зайти на свои рабочие столы. При этом ситуация может то временно улучшаться, то ухудшаться. В целом серверы могут быть доступны и даже отвечать на ping.

Способы от них избавиться

Способов, на самом деле, множество, но в данной статье мы решили разделить их на полностью надежные и те, у которых или есть определенные недостатки, или их сложно реализовать, или они могут служить только временной мерой. Начнем с надежных.

Правильная система паролей

Недавнее исследование Verizon показало, что более 80% взломов связано не с уязвимостями протокола RDP, а именно с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификации. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при успешной атаке.

Система мониторинга всех запросов

Эффективный способ - мониторить весь входящий трафик и отслеживать все несанкционированные подключения и запросы. К системам мониторинга удаленных подключений можно добавить какие-то дополнительные системы отслеживания, которые помогут увидеть более полную картину происходящего. Например, можно включить решение Variti - Active Bot Protection, которое не только позволяет размечать все входящие запросы на предмет “бот - не бот”, начиная с самого первого, в режиме реального времени, но и вычислять и блокировать источники атаки. Подобное отслеживание может вестись на всех системных уровнях, включая транспортный уровень и уровень приложений. Это позволит, например, увидеть подозрительную ботовую активность, которая может быть признаком начала атаки.

Другой вариант: если нет централизованной системы контроля доступа, то можно создать скрипт на powershell, который сообщает о всех фактах и попытках авторизации. Наконец, можно настроить “События” на отображение всей доступной информации.

Network Level Authentication

NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В прошлом году именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.

Ряд других полезных практик:

Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).

Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.

Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Конечно, это непростая задача в условиях удаленки, но это должно быть частью корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.

По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).

Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.

Установите на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.

А теперь перейдем к вариантам, которые сложно назвать однозначными, потому что у них есть и плюсы, и минусы.

Организовать доступ через VPN

Помимо очевидных преимуществ, у этого варианта есть несколько сложностей.

Даже у тех, кто использует Virtual Private Network, иногда разрешена авторизация пользователя без пароля.

Практически во всех популярных VPN-решениях также есть уязвимости для несанкционированного доступа.

Если вы раньше не пользовались VPN, что поднимать в спешке IPSec-соединения - не самая простая задача.

В условиях полного домашнего “зоопарка” устройств и подключений к сети (как насчет выхода в интернет через сотовый модем?) на удаленке довольно тяжело объяснять и настраивать каждому из нескольких сотен пользователей, чтобы у пользователя все стабильно работало и не пропадало подключение к сети.

VPN-серверы тоже могут падать, причем в отличие от временного падения какого-то из сервисов, это может грозить серьезными последствиями. Получается, что VPN серверы становятся единой точкой отказа со всеми вытекающими последствиями.

VPN — это двойное шифрование (помимо стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование), что означает дополнительную нагрузку и более медленное подключение, что не очень хорошо в условиях нестабильного или не особо быстрого канала связи.

При взломе VPN (а это может быть при взломе роутера), если он настроен по умолчанию (или недостаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом можно получить доступ ко внутренней сети).

Использовать другие средства удаленного доступа

К сожалению, в них также есть уязвимости. Например, в конце прошлого года найдено 37 уязвимостей в разных клиентах, работающих с протоколом VNC.

Изменить настройки всех пользователей на другой порт

Наверное, наименее надежный способ из всех, хотя наверняка найдутся люди, у которых это прекрасно работает. Почему же он “не очень”?

Требует много времени на то, чтобы изменить настройки, если у вас много конечных пользователей, среди которых могут оказаться и клиенты. А ведь счет часто идет на минуты во время активной фазы атак. В этой ситуации нужно как можно быстрее устранить проблему с минимальным отрывом пользователей от дел.

Кроме того, это временное решение, потому что современные боты с интеллектуальной программой сканирования портов быстро найдут новый нестандартный порт. Из нашей анти-бот практики: боты ловят нестандартный порт от пары часов до пары дней. В общем, к вам все равно придут, хоть и позже. Возможно, переименование учетных записей типа Администратор, admin, user, user1 на более несловарные будет здесь даже более эффективно.

Ввести различные ограничения на подключения

Например, можно ограничить количество разрешенных одновременно открытых сеансов, минимизировать количество пользователей, которые могут подключаться к серверам организации через интернет, запретить доступ к серверу с более чем N IP адресов, ограничить количество разрешенных ошибочных попыток входа и время для этих попыток, установить время блокировки для входа в случае неправильного ввода пароля и так далее. Да, это помогает, но это нельзя назвать полноценным решением. К сожалению, как показывает практика, эти меры могут не дать заметного снижения количества атак, ведь боты работают круглосуточно и без остановки, а ограничения - это куча тонких настроек, где одно зависит от другого, а у самого администратора часто есть определенные ограничения на настройки.

Блокировка IP

Эффективный для поколения “кулхацкеров” метод - блокирование IP - в случае серьезных противников может быть бесполезным, а то и опасным. Во всяком случае, адреса, с которых идут атаки, меняются в очень широком диапазоне (атака на перебор часто идет с группы адресов и даже с разных подсетей), так что сама идея блокировки по адресам — это лечение последствий, а не болезни. IP адрес слишком легко подделать, атакующие могут применять сотни и с легкостью менять их. И есть большая вероятность, что они подставят его так, что будет заблокирован ваш собственный адрес или IP ваших клиентов.

К тому же блокировка отдельных IP на сервере Windows - не такая уж простая задача. Во-первых, в логах безопасности часто не видно IP того, кто пытается подключится - в некоторых случаях его можно увидеть только при успешной авторизации. В противном случае видно только логин, под которым пытались залогиниться, хотя события в журнале отмечаются. И тем более это сложно, если IP специально скрывается.

Кстати, если вы делаете это с помощью Windows Firewall, то через какое-то время Windows начинает сильно тормозить из-за переполненного правила Windows Firewall.

Давать доступ к данным только белому списку IP-адресов - тоже достаточно сложная вещь в условиях удаленки и домашних офисов - IP может плавать, так как пользователь задействует очень разные гаджеты, которые есть “в хозяйстве”, и все норовит поработать из кафе или парка с публичным вайфаем.

О дивный новый мир

Для многих компаний удаленная работа, вероятно, останется постоянной частью их корпоративной культуры, и с этим придется что-то делать. При этом уязвимости в RDP всплывают постоянно, и приходится регулярно гуглить, что же появилось нового.

Основная головная боль в том, чтобы защититься от RDP-атак в такой ситуации - это зоопарк устройств, на которых удаленно работают сотрудники, и сроки, так как проблему нужно решать быстро. И не нужно объяснять, что в каждой конкретной организации у администратора могут быть отдельные ограничения - кому-то выделяют только один порт под сервис, у кого-то нет подходящего железа и достаточного бюджета.

Единого ответа в том, как полностью обезопасить себя от таких нападений за счет одного-единственного инструмента, наверное, пока не существует (но, думаем, рынок усиленно над этим работает). К тому же и боты стали намного хитрее и сложнее, и хакеры стали более умными, и атаки более многоплановыми. Понадобится комплекс мер, ведь существует еще достаточно много вариантов защиты, кроме тех, о которых мы написали, в том числе аппаратных - межсетевые экраны, маршрутизаторы, виртуализация, разделение основной базы данных и многое другое.

Но, мы уверены, что самый важный и первый шаг - это четко увидеть, существует ли у вас такая проблема и насколько она серьезна. Так что включайте свои мониторинги. Второй шаг - это сделать все возможное, чтобы максимально усложнить жизнь хакеру. Есть огромная вероятность того, что столкнувшись хотя бы с несколькими приемами, хакер не будет тратить время на вас, а найдет жертву попроще.

У специалистов ИТ-отделов нет возможности следить за состоянием домашних компьютеров с точки зрения информационной безопасности. Поэтому хотелось бы узнать, могут ли каким-либо образом (буфер, локальные ресурсы) вирусы перейти на рабочие компьютеры сотрудников с их домашних. И если да, то как с этим бороться? Если они подключаются к терминальному серверу, то там много опций и вопрос решается быстро. А что делать если они подключаются к своим компьютерам на рабочих местах?

RDP не гарантирует защиты от вирусов. к примеру есть предупреждения, когда в парамерах подключения, разрешено мапить локальные дисковые устройства. но если вам нужен обмен файлами - придется разрешить

можно по другому сказать - как мимнимум, есть угроза заражения, при любом способе обмена файлами (флешка, сеть, в тч мапинг по RDP)

какой то особой защиты не требуется - если у вас есть антивирус, вам не чего добавить upd кроме как не делать ляпов

- не мапить устройства
- не качать файлы
- уволиться
- отключить интернет и сотовые
- уехать жить в тайгу или в горы

- 0day может быть найден везде. возможно и в RDP*, даже если заходите без доступа к локальным устройствам. доступ же предусмотрен протоколом, просто запрещен. а крутые зловреды создаются именно для обхода запретов
- все кто более менее интересовался темой ИБ, знакомы с одним из самых показательных случаев - Stuxnet. но если вы работаете там, где есть гостайна, за нее есть кому беспокоится
- если вы самый главный по ИТ/ИБ, в своей конторе, и задаете такой вопрос, думаю, что самая большая угроза, для вашей конторы, это обычные зловреды - майнеры, воры банковских данных, паролей, и тд. но защита от них, требует только повышения вашего общего уровня в ИТ/ИБ. говоря коротко - не делать ляпов, хотя бы выполнять рекомендации МС для администраторов. а их довольно легко искать. удачи

* еще пример экстрима - специалисты по ИБ, продемонстрировали выход в хостовую систему, даже из виртуалки. но не сохранил ссылку, или сохранил далеко, истории чуть не пару лет.. а может и более ))

frrykt, аа.. ну да.. но в домашних условиях (а мы говорим про удаленку) винда (не кряченая сборка, а свежая 10, с настройками по дефолту, и родным антивирем) нашпигована (по дефолту же) оными на столько, что многие считают это шпионажем, и нарушением личных прав ))

а на стороне офиса.. ну я там в ответе дописал про либо доверяйте своим админам, либо учите маны, если вы и есть админ

Я бы не пускал юзеров на свои локальные компы в сети удаленно, т.к. вы получаете Nое количество толком не контролируемых точек входа в сеть. Вирус то может туда и не проникнет, а вот сами пользователи смогут унести все что плохо лежит.
По уму выделить терминальный сервер в ДМЗ. С него предоставить доступ в ЛВС через дополнительный (не локальный) закрытый фаервол с доступом только к нужным сетевым ресурсам. Нужные файлы пользователи должны держать в доступных сетевых каталогах. В терминальном сервере оставить работающими только безопасные защищенные протоколы, настроить полноценный сертификат с собственным ЦА, обязательно включить авторизацию на уровне сети.

Нет.
Но при удаленном доступе пользователь может загрузить зараженные файлы и запустить их самостоятельно.

У специалистов ИТ-отделов нет возможности следить за состоянием домашних компьютеров с точки зрения информационной безопасности.

А такой необходимости и нет.
Зачем следить за безопасностью домашних компьютеров? Да пусть там хоть что будет.
Следить надо за безопасностью рабочей инфраструктуры - сервера терминалов или рабочей станции куда подключается пользователь.

Грамотная настройка исключает возможность заражения на 99,9%.
Под грамотной настройкой понимается в первую очередь настройка прав пользователей -как на доступ к файлам так и на запуск программ.

Компании, у которых не были организованы системы удалённого доступа, в экстренном порядке разворачивали их пару месяцев назад. Не все администраторы были готовы к такой “жаре”, как следствие — упущения в безопасности: некорректная конфигурация сервисов или даже установка устаревших версий ПО с обнаруженными ранее уязвимостями. Одним эти упущения уже вернулись бумерангом, другим повезло больше, но выводы уж точно стоит сделать всем. Лояльность к дистанционной работе кратно возросла, и всё больше компаний принимают удалёнку как допустимый формат на постоянной основе.

Итак, вариантов обеспечения удалённого доступа множество: различные VPN, RDS и VNC, TeamViewer и другие. Администраторам есть из чего выбрать, основываясь на специфике построения корпоративной сети и устройств в ней. Самыми популярными остаются VPN решения, однако, многие небольшие компании выбирают RDS (Remote Desktop Services), они проще и быстрее в развёртывании.

В этой статье мы подробнее поговорим о безопасности RDS. Сделаем краткий обзор известных уязвимостей, а также рассмотрим несколько сценариев старта атаки на сетевую инфраструктуру, основанную на Active Directory. Надеемся, кому-то наша статья поможет провести работу над ошибками и повысить безопасность.

Любое ПО содержит ошибки и уязвимости, которые эксплуатируются злоумышленниками, и RDS не является исключением. В последнее время Microsoft часто сообщал о новых уязвимостях, мы решили сделать их краткий обзор:

Эта уязвимость ставит под удар пользователей, подключающихся к скомпрометированному серверу. Злоумышленник может заполучить контроль над пользовательским устройством или закрепиться в системе, чтобы иметь постоянный удалённый доступ.

Эта группа уязвимостей позволяет неавторизованному злоумышленнику удалённо выполнять произвольный код на сервере с RDS с помощью специально сформированного запроса. Также их можно использовать для создания червей — вредоносного ПО, заражающего соседние по сети устройства самостоятельно. Таким образом, данные уязвимости могут поставить под удар всю сеть компании, и спасёт от них только своевременное обновление.

ПО для удалённого доступа получило повышенное внимание как исследователей, так и злоумышленников, поэтому вскоре мы, возможно, услышим о новых подобных уязвимостях.

Мы переходим ко второй части статьи, где покажем, как начинаются атаки на сетевую инфраструктуру, основанную на Active Directory.

Описанные методы применимы для следующей модели нарушителя: злоумышленник, обладающий учётной записью пользователя и имеющий доступ к Remote Desktop Gateway — терминальному серверу (зачастую он доступен, например, из внешней сети). Применив эти методы, злоумышленник сможет продолжить атаку на инфраструктуру, и закрепить свое присутствие в сети.

Конфигурация сети в каждом конкретном случае может отличаться, но описанные приемы довольно универсальны.

Примеры выхода из ограниченного окружения и повышения привилегий

При доступе к Remote Desktop Gateway злоумышленник, скорее всего, столкнется с некоторой ограниченной средой. При подключении к терминальному серверу на нём запускается приложение: окно для подключения по протоколу Remote Desktop для внутренних ресурсов, проводник, офисные пакеты либо любое другое ПО.

Целью атакующего будет получение доступа к исполнению команд, то есть к запуску cmd или powershell. В этом могут помочь несколько классических техник побега из “песочницы” для Windows. Рассмотрим их далее.

Вариант 1. Злоумышленник имеет доступ к окну подключения Remote Desktop в рамках Remote Desktop Gateway:

Раскрывается меню “Show Options”. Появляются опции для манипуляции файлами конфигурации подключения:

Из этого окна возможно беспрепятственно попасть в Проводник, нажав любую из кнопок “Open” или “Save”:

Открывается Проводник. Его “адресная строка” даёт возможность запуска разрешённых исполняемых файлов, а также листинга файловой системы. Это может быть полезно атакующему в случае, когда системные диски скрыты и доступ к ним напрямую невозможен:

Подобный сценарий можно воспроизвести, например, при использовании в качестве удаленного ПО Excel из пакета Microsoft Office.

Кроме того, не стоит забывать про макросы, используемые в данном офисном пакете. Наши коллеги рассматривали проблему безопасности макросов в этой статье.

Вариант 2. Используя те же вводные, что и в прошлом варианте, атакующий запускает несколько подключений к удалённому рабочему столу под одним и тем же аккаунтом. При повторном подключении первое будет закрыто, а на экране появится окно с уведомлением об ошибке. Кнопка помощи в этом окне вызовет на сервере Internet Explorer, после чего атакующий может перейти в Проводник.

Вариант 3. При настроенных ограничениях на запуск исполняемых файлов, атакующий может столкнуться с ситуацией, когда групповые политики запрещают запуск cmd.exe администратором.

Есть способ обойти это при помощи запуска bat файла на удалённом рабочем столе с содержимым вида cmd.exe /K . Ошибка при запуске cmd и успешный пример выполнения bat файла приведён на рисунке ниже.

Вариант 4. Запрет запуска приложений при помощи чёрных списков по названию исполняемых файлов не панацея, их можно обойти.

Достаточно скопировать powershell.exe из папки C:\Windows\System32\WindowsPowerShell\v1.0 в пользовательскую папку, изменить имя на отличное от powershell.exe, и возможность запуска появится.

По умолчанию при подключении к удалённому рабочему столу предоставляется доступ к локальным дискам клиента, откуда атакующий может скопировать powershell.exe и после переименования запустить.

Мы привели лишь несколько способов обхода ограничений, сценариев можно придумать ещё очень много, но все их объединяет выход в Проводник Windows. Приложений, использующих стандартные средства Windows для работы с файлами, множество, и при помещении их в ограниченную среду, можно применять похожие техники.

Как мы видим, даже в ограниченной среде есть пространство для развития атаки. Однако можно усложнить жизнь атакующему. Приводим общие рекомендации, которые пригодятся как в рассмотренных нами вариантах, так и в других случаях.

Ограничьте запуск программ черными/белыми списками, используя групповые политики.
При этом в большинстве случаев остается возможность запуска кода. Рекомендуем ознакомиться с проектом LOLBAS, чтобы иметь представление о недокументированных способах манипуляции файлами и исполнения кода в системе.
Рекомендуем комбинировать оба типа ограничений: например, можно разрешить запуск исполняемых файлов, подписанных компанией Microsoft, но ограничить запуск cmd.exe.
Отключите вкладки настроек Internet Explorer (можно сделать локально в реестре).
Отключите через regedit вызов встроенной справки Windows.
Отключите возможность монтирования локальных дисков для удалённых подключений, если такое ограничение не критично для пользователей.
Ограничьте доступ к локальным дискам удалённой машины, оставьте доступ только к пользовательским папкам.

Надеемся, вам было как минимум интересно, а как максимум — это статья поможет сделать удалённую работу вашей компании безопаснее.

Здравствуйте. Подскажите, уязвим ли основной пк при подключении к небезопасному рабочему столу через rdp?

RDP-сервер может эксплуатировать баг в RDP-клиенте.

У меня ноутбук openbsd хочу через freerpd подключаться к windows серверу на котором придется открывать зараженные файлы и т.п.

у меня в офисе продажников ни разу вирусы не пролазили через rdp

Это хорошо, но я спрашиваю про ситуацию, где на основном ноуте банк, доступ к брокерским счетам, и почта, а на удаленке windows на котором открываются офисные документы полученные из ненадежных источников и т.п.

Всё зависит от троянцев на небезопасном рабочем столе.

вероятность КРАЙНЕ МАЛА. но запускать rdp клиент под отдельным юзером с ограниченными правами наверное не самая плохая идея.

Если ты перенесешь с rdp-сервера зараженный файл на локальный диск, то он не перестанет быть зараженным. Если это запрещено, то других способов перенести заразу на локальный комп я не вижу.

А почему ты банк держишь не в виртуалке?

Вероятность ничтожно мала. Особенно если запустить клиент под ограниченным пользователем.

Помнится руководство потребовало для клиентов выставить в интернет MS SQL Server. Я был против и сделал STunnel и раздал клиентам флешки. И как раз потому через 5 дней сервер заразился.

Во-первых, думаю что rdp не такой уж сложный протокол, так что вряд ли клиент содержит удалённую уязвимость, позволяющую выполнять код. Во-вторых, не следует переоценивать авторов вирусов. Никто не будет добавлять туда все-все варианты атак. Ибо от этого и вирус распухает, и антивирусы с большей вероятностью реагирует, и просто сложно это, а профит мал. В большинстве вирусов используются только те атаки, которые дают максимальный охват аудитории. Подключение по RDP, да ещё и из-под openbsd (а эксплойты под каждую ОС свои, даже если есть какая-то дыра в клиенте rdp) - слишком непопулярный сценарий, так что вряд ли вирус поддерживает это.

Читайте также: