روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ پژوهشهای جدید نشان میدهد مجرمان سایبری میتوانند پروتکل دسترسیِ ریموت به دسکتاپِ[1] ویندوزی را بعنوان ابزاری قدرتمند آن هم با هدف تقویت حملات DDoS[2] اکسپلویت کنند. به نقل از رولاند دابینز مهندس ارشد و اشتاینتور جارناسون تحلیلگر ارشد امنیت شبکه، مهاجمین میتوانند از RDP برای اجرای حملات نوع «انعکاسی[3]»/«تقویتیِ[4]» UDP[5] استفاده کنند. با این حال همه سرورهای RDP را نمیشود بدینطریق بکار گرفت. این محققین هفتهی گذشته درگزارشی چنین اظهار کردند که این امر تنها زمانی محقق میشود که سرویس روی پورت UDP–که روی پورت استاندارد 3389 TCP اجرا میشود- فعالسازی شده باشد.
شرکت Netscout تاکنون بیش از 14 هزار سرور RDP ویندوزیِ (که پتانسیل اکسپلویت داشتند) شناسایی کرده است. مهاجمین میتوانند از این سرورها در حملات DDoS خود استفادهی سوء کنند- این خبرِ نگرانکنندهایست زیرا در دوران قرنطینه (به دلیل همهگیری ویروس کرونا) حجم فعالیتهای آنلاین به طور بیسابقهای افزایش یافته است. اوایل این هفته بود که محققین بدافزار جدیدی با نام Freakout شناسایی کردند که به منظور هدفگیری دستگاههای لینوکسی با حملات ،DDoS اندپوینتها را به باتنت اضافه میکند.
علاوه بر این، گرچه اولش فقط مهاجمین پیشرفته که به زیرساخت حملهی DDoS دسترسی داشتند از متود «تقویتی» استفاده کردند اما محققین همچنین شاهد این بودند که سرورهای RDP در سرویسهای DDoS توسط بوترها[6] اکسپلویت میشوند. این بدان معناست که «مهاجمین غیرپیشرفته و معمولی» نیز میتوانند از نوع تقویتی برای تشدید حملات DDoS خود استفاده کنند. RDP بخشی از سیستمعامل مایکروسافت ویندوز است که به ایستگاههای کاری و سرورها دسترسیِ زیرساخت دسکتاپ مجازی ریموت و معتبر میدهد. ناظرین سیستم میتوانند RDP را طوری تنظیم کنند که روی TCP port 3389 و/یا UDP port 3389 اجرا شود.
به نقل از محققین، مهاجمین میتوانند ترافیک حمله تقویتشده را –متشکل از بستههای UDP قطعه قطعه نشده که منشاءشان UDP port 3389 است- برای هدفگیری یک آدرس آیپی مشخص و پورت انتخابیِ UDP ارسال کنند. دابینز و جارناسون در ادامه چنین توضیح میدهند که، «برخلاف ترافیک سشنِ قانونی RDP، بستههای حمله تقویتشده به طور مداوم طولِ 1260 بایتی دارند و با رشتههای بلند صفر پوشش داده شدند». نفوذ به سرورهای Windows RDP بدین روش، تأثیر بزرگی روی سازمانهای قربانی میگذارد؛ از جمله «قطعیِ کامل یا جزئی سرویسهای ریموت "مأموریت حیاتی[7]"» . محققین به این نکته اشاره میکنند که، «فیلتر عمدهی همهی ترافیکهایی که منبعشان UDP/3389 است –توسط عاملین شبکه- ممکن است به طور بالقوه ترافیک قانونی اینترنت را از جمله ریپلایهای قانونی سشن ریموت RDP مسدود سازد».
برای کاهش استفاده از RDP برای تقویت حملات DDoS و تأثیرات مربوطه، محققین به ادمینهای سیستمهای ویندوزی چند توصیه دارند. اولی که بسیار هم اهمیت دارد این است که باید پشت متمرکزکنندههای ویپیان، سرورهای ویندوزی RDP را به کار گیرند تا نشود از آنها برای تقویت حملات DDoS استفاده کرد. دابینز و جارناسون چنین توصیه میکنند که، «اپراتورهای شبکه میبایست برای شناسایی سرورهای آسیبپذیری Windows RDP روی شبکههای خود و/یا شبکههای مشتریانشان عملیات اکتشاف انجام دهند. به شدت توصیه میشود که سرورهای RDP از طریق سرویسهای ویپیان قابلیت دسترسی داشته باشند تا بدینترتیب از هر گونه سوءاستفاده محافظت شوند».
اگر چنین کاهشی ممکن نیست نیز پیشنهاد دیگر این محققین به ادمینهای سیستم این است که (در قالب اقدامی موقتی) دستکم از طریق UDP port 3389 پروتکل دسکتاپ ریموت را غیرفعال کنند. ترافیک شبکه دسترسی به اینترنت از جانب پرسنل داخل سازمان باید از ترافیک اینترنت به/از اینترنت عمومی جداسازی شده و از طریق لینکهای انتقال اینترنتی مُجزا ارائه گردد. به گفتهی محققین، اپراتورهای شبکه اینترنتی همچنین باید برای همه زیرساختهای مرتبط شبکه، معماریها و عملیاتها از جمله سیاستهای دسترسی شبکه -مختص یک موقعیت خاص- (که تنها ترافیک نت را از طریق پروتکلها و پورتهای آیپیِ لازم مجاز میداند) از [8]BCPها استفاده کنند.
[1] Remote Desktop Protocol (RDP)، یک پروتکل اختصاصی توسعه یافته توسط مایکروسافت است که کاربر را قادر میسازد تا با یک رابط گرافیکی به یک کامپیوتر دیگر که در مکانی دیگر قرار گرفتهاست متصل شود.
[2] حمله محرومسازی از سرویس
[3] reflection
[4] amplification
[5] قرارداد بسته دادهٔ کاربر، یکی از اجزاء اصلی مجموعه پروتکل اینترنت، مجموعهای از پروتکلهای شبکه که در اینترنت مورد استفاده قرار میگیرند، میباشد.
[6] booter
[7] mission-criticalبه هر عاملی (اجزا، تجهیزات، پرسنل، پروسه، روند، نرمافزار وغیره) میگویند که عملکرد سازمان بدان عمیقاً نیاز دارد.
[8] Best Current Practices
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
