شرکت Kaspersky اعلام کرده که از زمان شروع همهگیری جهانی کرونا، تعداد حملات موسوم به سعیوخطا (Brute-force) بر ضد پودمان RDP بهشدت افزایش یافته است.
این افزایش حملات سعیوخطا از اجرای سیاستهایی همچون انجام دورکاری در بسیاری از کشورها متأثر بوده است. به گفته Kaspersky از ابتدای ماه مارس تعداد حملاتی که این شرکت روسی سازنده ضدویروس از آنها با عنوان Bruteforce.Generic.RDP یاد کرده در نقاط مختلف جهان بهشدت افزایش داشته است.
سازوکار حفاظتی RDP مبتنی بر اصالتسنجی از طریق نام کاربری و رمز عبور است؛ موضوعی که آن را در برابر حملات سعیوخطا آسیبپذیرتر میکند. در جریان این حملات تمامی حالات ممکن (یا حداقل متداول) تا رسیدن به ترکیب صحیح نام کاربری و رمز عبور امتحان میشود.
حملات سعیوخطا همواره بخشی ثابت از ترافیک مخرب روزانه اینترنت را به خود اختصاص میدهند.
پیشتر نیز موتور جستجوگر Shodan از افزایش ۴۱ درصدی دستگاههای با پودمان RDP باز بر روی اینترنت همزمان با آغاز شیوع کرونا خبر داده بود.
Kaspersky معتقد است که افزایش تعداد دستگاههای با RDP باز بر روی اینترنت، استقبال هر چه بیشتر مهاجمان را در هدف قرار دادن آنها در پی داشته است.
با دستیابی به اطلاعات اصالتسنجی مورد نیاز برای دسترسی به دستگاه در بستر RDP، مهاجمان معمولاً این اطلاعات را در تالارهای زیرزمینی خود، در بازارهایی معروف به RDP Shop به سایر تبهکاران سایبری میفروشند.
برخی نیز از اطلاعات اصالتسنجی بدست آمده برای دسترسی یافتن به شبکه سازمان و سرقت دادههای اختصاصی، اجرای حملات موسوم به BEC یا نصب باجافزار جهت رمزگذاری فایلها و درخواست باج استفاده میکنند.
توصیه می گردد تا جای ممکن این سرویس را در شبکه خود غیرفعال نماییدو در صورت نیاز به استفاده از RDP اجرای سیاستهای امنیتی از جمله رعایت موارد زیر برای حفاظت در برابر تهدیدات توصیه میگردد:
- استفاده از رمز عبور پیچیده بهعنوان حداقل کار ممکن
- در دسترس قرار دادن RDP تنها از طریق یک VPN سازمانی
- استفاده از اصالتسنجی موسوم به Network Level Authentication – به اختصار NLA
- فعالسازی اصالتسنجی دوعاملی، در صورت امکان
- بکارگیری یک راهکار امنیتی قابل اطمینان
منابع :
