Операторы вредоносных кампаний фокусируются на незащищенных подключениях удаленного доступа, отказываясь от массированных email-рассылок и других методов доставки полезной нагрузки. В сегодняшних реалиях онлайн-сканеры мгновенно обнаруживают уязвимый сервер, после чего он оказывается под постоянной атакой.
К таким выводам пришли ИБ-эксперты, которые в течение месяца наблюдали за попытками взломать 10 ханипотов с доступом по RDP (Remote Desktop Protocol, протокол удаленного доступа). В качестве приманок выступали виртуальные машины Amazon под управлением Windows Server 2019. Их базовая конфигурация допускает RDP-подключение, что делает такие хосты желанной целью для операторов зловредов, таких как шифровальщики SamSam, Dharma, Scarabey.
В ходе исследования первая попытка неправомерного доступа произошла менее чем через полторы минуты после запуска виртуальных машин. В последующие 15 часов онлайн-сканеры нашли все созданные ханипоты. После обнаружения приманки попытки взломать ее происходили в среднем каждые шесть секунд. Всего же за период исследования системы зарегистрировали 4,3 млн таких инцидентов.
Как взламывают RDP
По словам исследователей, большинство атак имеют спорадический характер — организаторы быстро перебирают несколько вариантов логина и пароля и уходят ни с чем. В других случаях взломщики применяют более оригинальные техники. Так, некоторые злоумышленники останавливаются на трех попытках авторизации — этот метод позволяет им экономить ресурсы и держаться вне поля зрения автоматических систем. Исследователи также допускают, что подобной стратегии придерживаются операторы ботнетов, которые могут последовательно пробивать порты с разных IP-адресов.
Техника тарана предполагает перебор десятков тысяч паролей лишь с несколькими вариантами логина. Таким образом преступники могут пытаться взломать администраторские аккаунты — их пароли зачастую сложнее, чем у пользователей, а имя учетной записи может оставаться типовым (administrator, admin).
С другой стороны, техника роя построена на подстановке разных имен при ограниченном количестве паролей. Эксперты приводят в пример злоумышленника, который указывал в качестве логина какую-либо фамилию, последовательно подставляя к ней все буквы алфавита (A.Smith, B.Smith, C.Smith…). На каждый вариант приходилось по девять попыток авторизации — исследователи предполагают, что преступник мог идти по списку самых популярных паролей.
Еще один оригинальный метод специалисты назвали «ежом» — в этом случае всплески активности, которые чередуются с периодами затишья, на графике напоминают иглы. Злоумышленник настроил скрипт таким образом, чтобы количество попыток авторизации в ходе каждого сеанса было уникальным. Предположительно, это скрывает его активность от автоматических систем.
Среди других открытий — неожиданная популярность логина SSM-User, который оказался на четвертом месте после administrator, admin и user. Это значение стоит по умолчанию на многих виртуальных машинах Amazon. Как упоминалось выше, у таких хостов по умолчанию включено RDP-соединение, чем и пользуются злоумышленники.
Роль поисковика Shodan в кибератаках
Исследователи также поставили целью отследить, как быстро компьютеры с незащищенным подключением появляются в базе поисковика Shodan. По ней эксперты нередко судят о масштабе той или иной угрозы, будь то количество уязвимых IoT-устройств или непропатченных веб-серверов. Преступники также не понаслышке знакомы с этим сервисом.
За период исследования созданные ханипоты так и не появились на страницах Shodan, что натолкнуло экспертов на два вывода:
- Вредоносные сканеры используют другие методы для обнаружения уязвимых хостов, и довольно успешно (напомним, первую приманку обнаружили в течение полутора минут).
- Компании не должны чувствовать себя в безопасности, если Shodan не обнаруживает в их инфраструктуре уязвимых подключений.
Как защитить RDP-соединения
Исследователи заключают, что проблема уязвимого удаленного доступа будет актуальна до тех пор, пока пользователи создают слабые пароли. Об актуальности угрозы лучше всего говорит рост вредоносной активности в этой сфере. В 2012 году в ходе аналогичного исследования эксперты регистрировали по две попытки взлома за час. Сегодня этот показатель достигает 600.
По словам специалистов, на положение вещей может повлиять создатель RDP — корпорация Microsoft. В ее силах внедрить более надежные способы авторизации наподобие двухфакторной аутентификации или PKI. С другой стороны, разработчики Amazon могли бы отключить на своих виртуальных машинах доступное по умолчанию RDP-соединение или также использовать усиленную аутентификацию.
Пока же эксперты напоминают администраторам, что протокол удаленного доступа по природе своей не создан для доступа через Интернет. Если в компании нет возможности организовать подключение, кроме как по RDP, IT-специалисты должны ограничить количество неудачных попыток авторизации, обеспечить контроль над учетными записями и обучить пользователей созданию надежных паролей.