تمثل قدرة المتسللين على استغلال أي ضعف تقريبًا أحد أكبر التحديات أمام إنفاذ القانون - والشركات الصغيرة. أصدر مكتب التحقيقات الفيدرالي مؤخرا تحذيرا للشركات وغيرها عن تهديد آخر. بدأ المتسللون استغلال بروتوكول سطح المكتب البعيد (RDP) لتنفيذ أنشطة ضارة بتردد أكبر.
وفقًا لمكتب التحقيقات الفيدرالي ، ازداد استخدام بروتوكول سطح المكتب البعيد كمهاجم للهجوم منذ أواسط وأواخر عام 2016. ويرجع الارتفاع في هجمات RDP جزئيًا إلى الأسواق المظلمة التي تبيع الوصول إلى بروتوكول سطح المكتب البعيد. لقد عثرت الجهات الفاعلة السيئة على طرق لتحديد واستغلال جلسات RDP الضعيفة عبر الإنترنت.
$config[code] not foundبالنسبة للشركات الصغيرة التي تستخدم RDP للتحكم في أجهزة الكمبيوتر المنزلية أو المكتبية الخاصة بها عن بُعد ، يلزم مزيد من اليقظة بما في ذلك تنفيذ كلمات مرور قوية وتغييرها بانتظام.
في إعلانه ، يحذر مكتب التحقيقات الفيدرالي FBI من أن "الهجمات باستخدام بروتوكول RDP لا تتطلب إدخال المستخدم ، مما يجعل من الصعب اكتشاف التدخلات".
ما هو بروتوكول سطح المكتب البعيد؟
تم تصميم RDP للوصول إلى الإدارة عن بُعد وإدارتها ، وهي طريقة Microsoft لتبسيط نقل بيانات التطبيق بين مستخدمي الأجهزة والأجهزة الظاهرية وأجهزة سطح المكتب الافتراضية وخادم طرفي لبروتوكول سطح المكتب البعيد.
ببساطة ، يتيح لك RDP التحكم بجهاز الكمبيوتر الخاص بك عن بعد لإدارة مواردك والوصول إلى البيانات. تُعد هذه الميزة مهمة للأنشطة التجارية الصغيرة التي لا تستخدم الحوسبة في السحاب وتعتمد على أجهزة الكمبيوتر أو الخوادم المثبتة في أماكن العمل.
هذه ليست المرة الأولى التي يقدم فيها RDP مشاكل أمان. في الماضي ، كان للإصدارات المبكرة نقاط ضعف جعلتهم عرضة لهجوم رجل في الوسط ، الأمر الذي أعطى للمهاجمين إمكانية الوصول غير المصرح به.
بين عامي 2002 و 2017 أصدرت شركة Microsoft التحديثات التي حددت 24 نقطة ضعف رئيسية متعلقة ببروتوكول سطح المكتب البعيد. والنسخة الجديدة أكثر أمنا ، لكن إعلان مكتب التحقيقات الفيدرالي يشير إلى أن المتسللين ما زالوا يستخدمونها كدليل على الهجمات.
اختراق بروتوكول سطح المكتب البعيد: الثغرات الأمنية
حدد مكتب التحقيقات الفيدرالي العديد من نقاط الضعف - ولكن كل شيء يبدأ مع كلمات مرور ضعيفة.
تقول الوكالة إذا كنت تستخدم كلمات معجمية ولا تتضمن مجموعة من الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة ، فستكون كلمة المرور عرضة للهجمات القوية والقاموس.
بروتوكول سطح المكتب الذي تم إنشاؤه حديثًا باستخدام بروتوكول دعم موفر دعم الأمان (CredSSP) يقدم أيضًا ثغرات أمنية. CredSSP هو تطبيق يقوم بتفويض بيانات اعتماد المستخدم من العميل إلى الخادم الهدف للمصادقة عن بعد. RDP القديمة يجعل من الممكن لإطلاق هجمات رجل في الوسط.
تتضمن الثغرات الأمنية الأخرى السماح بالوصول غير المقيد إلى منفذ بروتوكول سطح المكتب البعيد (TCP 3389) الافتراضي والسماح بمحاولات تسجيل الدخول غير المحدودة.
اختراق بروتوكول سطح المكتب البعيد: التهديدات
هذه بعض الأمثلة على التهديدات كما هو مذكور في مكتب التحقيقات الفيدرالي:
CrySiS Ransomware: يستهدف CrySIS Ransomware بشكل أساسي الشركات الأمريكية من خلال منافذ RDP المفتوحة ، باستخدام كل من هجمات القوة الغاشمة والقاموس من أجل الوصول البعيد غير المصرح به. ثم ينزل CrySiS رانسومواري على الجهاز وينفذها. الجهات الفاعلة تهديد المطالبة الدفع في بيتكوين في مقابل مفتاح فك التشفير.
CryptON Ransomware: يستخدم CryptON ransomware هجمات القوة الغاشمة للوصول إلى جلسات RDP ، ثم يسمح لممثل التهديد بتنفيذ البرامج الخبيثة يدويًا على الجهاز المخترق. عادةً ما يطلب ممثلو Cyber PCs بيتكوين في مقابل اتجاهات فك التشفير.
Samsam Ransomware: يستخدم Samsam Ransomware مجموعة واسعة من مآثر ، بما في ذلك مهاجمة أجهزة تمكين RDP ، لتنفيذ هجمات القوة الغاشمة. في يوليو عام 2018 ، استخدم ممثلو التهديد في سامسام هجومًا قويًا على أوراق اعتماد RDP لتسجيل الدخول للتسلل إلى إحدى شركات الرعاية الصحية. تمكنت الفدية من تشفير الآلاف من الأجهزة قبل الكشف.
داكن ويب إكستشينج: الجهات الفاعلة Threat شراء وبيع بيانات تسجيل الدخول RDP المسروقة على "ويب الظلام". يتم تحديد قيمة بيانات الاعتماد عن طريق موقع الجهاز المخترق ، والبرمجيات المستخدمة في الجلسة ، وأي سمات إضافية تزيد من قابلية استخدام الموارد المسروقة.
اختراق بروتوكول سطح المكتب البعيد: كيف يمكنك حماية نفسك؟
من المهم أن تتذكر في أي وقت تحاول فيه الوصول إلى شيء عن بعد هناك خطر. ولأن "بروتوكول سطح المكتب البعيد" يتحكم بشكل كامل في النظام ، يجب عليك تنظيم ومراقبة وإدارة الأشخاص الذين يمكنهم الوصول عن كثب.
من خلال تطبيق أفضل الممارسات التالية ، يقول مكتب المباحث الفيدرالي الأمريكي ووزارة الأمن الداخلي أن لديك فرصة أفضل ضد الهجمات المستندة إلى RDP.
- تمكين كلمات مرور قوية وسياسات تأمين الحساب للدفاع ضد هجمات القوة الغاشمة.
- استخدم المصادقة الثنائية.
- قم بتطبيق تحديثات النظام والبرامج بانتظام.
- لديك استراتيجية احتياطية موثوقة مع نظام استرداد قوي.
- تمكين التسجيل وضمان آليات التسجيل لالتقاط تسجيلات الدخول إلى بروتوكول سطح المكتب البعيد. احتفظ بالسجلات لمدة 90 يومًا على الأقل. في نفس الوقت ، قم بمراجعة تسجيلات الدخول للتأكد من أن الأشخاص الذين لديهم حق الوصول فقط هم الذين يستخدمونها.
يمكنك إلقاء نظرة على بقية التوصيات هنا.
عناوين الاخفاقات في البيانات هي في الاخبار بانتظام ، وهذا يحدث لمنظمات كبيرة مع موارد تبدو غير محدودة. في حين أنه قد يبدو من المستحيل حماية عملك الصغير من جميع التهديدات السيبرانية هناك ، يمكنك تقليل المخاطر والمسؤوليات إذا كانت لديك البروتوكولات الصحيحة في مكانها مع الحوكمة الصارمة لجميع الأطراف.
الصورة: مكتب التحقيقات الفيدرالي
