Kas yra KPP išpuolis ir kaip nuo to apsisaugoti?
Sakyti, kad COVID-19 krizė mus atitraukė, būtų dešimtmečio neįvertinimas. Niekas nesitikėjo, kad protrūkis bus toks didelis, ir kai supratome, kokia rimta problema, visose šalyse ir žemynuose tvyrojo teroro banga. Tikra panika sukėlė ir, ko gero, nenuostabu, kibernetiniai nusikaltėliai bandė (ir daugeliu atvejų sugebėjo) tuo pasinaudoti.
Tuo tarpu daugelyje šalių priimti socialinio atsiribojimo nuostatai reiškė, kad tūkstančiai kompanijų išsiuntė darbuotojus dirbti iš namų. Tikriausiai nenustebsite sužinoję, kad kibernetiniai nusikaltėliai taip pat bandė tuo išnaudoti.
Table of Contents
Kibernetiniai nusikaltėliai puola KPP, kol pasaulis įstrigo namuose
Praėjusią savaitę Kaspersky tyrėjai pateikė diagramų seriją, iliustruojančią dar vieną pokytį, kurį atnešė COVID-19 pandemija.
Kalbama apie RDP išpuolius ir apie tai, kiek jie buvo paplitę nuo užrakto pradžios. Skaičiai įvairiose šalyse skiriasi, tačiau tendencija tokia pat akivaizdi kaip dienos šviesoje - išpuoliai prieš KPP protokolą išpopuliarėjo nuo pat koronaviruso pandemijos pradžios.
Ši nauja išvada nepadarys per daug šoko tiems, kurie žino, kas yra KPP. Tie, kurie to nedaro, dabar gali tai sužinoti.
Kas yra KPP ir kodėl kibernetiniai nusikaltėliai ją taip myli?
KPP yra trumpas nuotolinio darbalaukio protokolas. Tai programos komunikacijos protokolas, leidžiantis vartotojui prisijungti prie nuotolinio „Windows“ kompiuterio ar serverio ir naudoti operacinės sistemos grafinę sąsają. Jį sukūrė „Microsoft“, o pagal numatytuosius nustatymus jis naudoja 3389. prievadą. Kaip jau galėjote atspėti, LDP ryšys su nuotoliniu galiniu tašku įvyksta įvedus galiojančių prisijungimo kredencialų rinkinį.
KPP jau kurį laiką gyvuoja, o atakos prieš ją yra beveik tokios pat senos. Bėgant metams saugumo tyrinėtojai nustatė daugybę pažeidžiamumų ir buvo daugybė įsilaužimo įrankių, išnaudojančių trūkumus. Tačiau labiausiai paplitęs būdas kompromituoti KPP yra kuklus žiaurios jėgos išpuolis.
Vartotojų liūdnūs slaptažodžių tvarkymo įpročiai atspindi ir KPP saugumą. Apsiginklavę paprastų ir nuspėjamų prisijungimo duomenų sąrašais, įsilaužėliai gali lengvai sukompromituoti daugybę kompiuterių ir serverių, kuriuose veikia RDP. Išpuolis gali būti paprastas, tačiau kadangi tai suteikia kibernetiniams nusikaltėliams daugiau ar mažiau netrukdomų prieigų prie pažeistos baigties, žala, kurią ji gali padaryti, yra didžiulė. Dėl šios priežasties yra tamsios internetinės prekyvietės, skirtos prekybai pažeistais KPP įgaliojimais.
Atakos prieš galinius taškus, į kuriuos įgalinta RDP, tapo populiaresnės per COVID-19 pandemiją dėl keleto akivaizdžių priežasčių. Nors darbuotojai buvo siunčiami dirbti iš namų, jiems vis tiek reikėjo turėti prieigą prie korporacinių išteklių tinkle, ir daugelis organizacijų nusprendė sukurti tai naudodamos nuotolinio darbalaukio protokolą. Kaip matote iš „Kaspersky“ diagramų, kibernetiniai nusikaltėliai tikisi, kad kai kuriais atvejais KPP konfigūracija nėra ypač saugi, ir, deja, jie gali būti teisingi.
Kaip jau minėjome, istoriškai sistemos administratoriai padarė klaidų kairėje, dešinėje ir centre, kai kalbama apie KPP konfigūraciją. Šį kartą jie buvo priversti skubiai sukurti darbo aplinką daugeliui vartotojų, o tai dar labiau padidina tikimybę klaidų.
Kaip apsisaugoti nuo KPP išpuolio?
Daugeliu atvejų RDP išpuoliai yra paprasti bandymai brutalios jėgos dėka, ir, kaip jūs tikriausiai žinote, paprasčiausias būdas apsisaugoti nuo bet kokio brutalios jėgos išpuolio yra stiprus slaptažodis, kuris niekur kitur nepanaudojamas. Tačiau LAP reiškia didesnį atakos paviršių, todėl sistemos administratoriai gali padaryti blogiau, nei apsvarstyti vieną ar du dalykus.
Įsitikinkite, kad visi, naudojantys protokolą, atnaujino savo programinę įrangą, o jei turite įmonės VPN, įgalinkite RDP tik per jį. Jei įmanoma, naudokite dviejų veiksnių autentifikavimą ir stenkitės nenaudoti numatytosios protokolo konfigūracijos. Tai gali nebūtinai sustabdyti įsilaužėlius, tačiau tai gali juos pristabdyti, ir dažnai tai yra viskas, ko reikia. Paskutinis, bet ne mažiau svarbus dalykas - jei jums nereikia KPP, tiesiog išjunkite jį ir uždarykite 3389 prievadą.
