Bagaimana desktop jarak jauh digunakan untuk menginfeksi malware

McAfee Labs Ini adalah divisi penelitian dari perusahaan keamanan McAfee. Tujuannya untuk memonitor yang baru tren, bahaya dan ancaman yang bisa kita temukan dalam masalah keamanan siber.

Salah satu hal terpenting dalam laporan 2018 Anda adalah yang berhubungan dengan Toko RDP dan kemudahan para penjahat cyber tanpa pengetahuan teknis memiliki akses ke komputer yang terinfeksi yang dapat diakses melalui RDP atau desktop jarak jauh. Dalam kata-kata John Fokker, Kepala Investigasi Cyber ​​dari McAfee Advanced Threat Research, "web gelap berisi toko RDP, platform online yang menjual akses ke mesin bajakan melalui RDP (protokol desktop jarak jauh) ”.

Tapi mari kita mulai dari awal. RDP adalah singkatan untuk Protokol Desktop Jarak Jauh, Protokol Desktop Jarak Jauh dalam bahasa Spanyol. RDP adalah teknologi dikembangkan oleh Microsoft dan yang memfasilitasi remote control komputer dengan Windows Tidak perlu berada di depannya. Fungsi ini, sangat sederhana dan mudah diimplementasikan Di taman komputer perusahaan atau kantor, tentu saja ada pro dan kontra.

Dan di sisi negatifnya adalah penggunaan yang bisa dilakukan oleh seseorang yang memilikinya diakses ke komputer kami melalui malware Untuk mengendalikan PC kita, apakah kita punya bukti atau tidak.

Semuanya dimulai dengan kata sandi yang buruk

Teknologi desktop jarak jauh yang digunakannya Windows secara default tidak buruk dengan sendirinya. Masalahnya adalah, di satu sisi, itu diaktifkan bahkan jika kita tidak membutuhkannya dan, di sisi lain, kata sandi standar agak lemah. Oleh karena itu, penjahat cyber mencari internet untuk sistem dengan RDP yang terhubung dan digunakan serangan brute force untuk mengetahui kata sandi yang dipilih.

Jika ini sangat sederhana atau jika ada dalam daftar kata sandi yang terkena pelanggaran keamanan, maka akan mudah dipulihkan dan komputer yang dimaksud akan terpapar untuk dikendalikan Remote via desktop jarak jauh. Tidak seperti rute masuk lainnya, seperti menginfeksi PC kami dengan malware membuka tautan dari situs web atau email, dalam hal ini manfaatkan tiket a priori yang aman tapi itu berhenti menjadi jika kunci entri sangat sederhana.

Penjahat dunia maya mencari secara online sistem dengan RDP yang terhubung dan menggunakan serangan brute force untuk mengetahui kata sandi yang dipilih

Menurut statistik dari tiga bulan pertama 2019, McAfee memperingatkan itu pintu masuk ransomware kerentanan perangkat lunak (yang tetap pada 6,1%) dan phishing atau email palsu (30,4%) telah berhenti, dan upaya semakin difokuskan pada akses melalui RDP, yang naik ke 63,5%

McAfee Labs tahun lalu menganalisis beberapa toko RDP, halaman web yang tersedia di web gelap dan penawaran akses jarak jauh ke komputer yang dapat mencapai selusin atau lebih dari 40.000 komputer yang telah terpapar oleh tidak mengontrol akses RDP Anda. Melihat informasi terperinci yang ditawarkan oleh toko-toko komputer yang terkena dampak ini memberi kita petunjuk tentang jenis peralatan apa yang paling rentan: mereka yang memiliki versi lama dari Windows dan browser web. Tim menonjol dengan Windows XP, 7 atau versi Server yang lebih lama seperti 2008 atau 2012.

Ini juga penasaran untuk menggunakan perangkat dengan Windows Standar Tertanam, versi Windows untuk peralatan yang sangat spesifik tersedia di ATM, hotel, tempat penjualan, meter parkir … Ini adalah perangkat tanpa pengawasan yang terhubung secara konstan yang kemungkinan akan diserang tanpa ada yang memperhatikan pada saat atau sampai tugas pemeliharaan selanjutnya.

Penggunaan akses RDP

Sekarang kita tahu bahwa remote desktop telah menjadi pintu gerbang untuk mengontrol komputer jarak jauh tanpa izin kami, penting untuk mengetahui apa akses ini digunakan setelah ada jaringan komputer yang tersedia untuk penjahat cyber.

Laporan McAfee Labs 2018 menyoroti lima penggunaan utama komputer yang terpapar akses RDP. Yang pertama terdiri dari topeng asal penyerang saat melakukan berbagai tugas infeksi atau serangan di komputer lain. Mulai dari remote control, cybercriminal dapat mengkompilasi kode berbahaya pada mesin yang terpengaruh sehingga tampaknya serangan dibuat dari sana atau malware yang diselidiki dibuat.

Penggunaan lain yang sering adalah pengiriman spam menggabungkan berbagai komputer untuk membuat jaringan botnet. Anda juga dapat menggunakan komputer yang terpengaruh crypto, untuk mencuri data pribadi, informasi bank, atau hanya untuk menginfeksi komputer-komputer tersebut dengan ransomware dan meminta tebusan sebagai imbalan untuk memulihkan file yang terkunci.

Solusinya, akal sehat

Pertama-tama, harus diingat bahwa akses ke komputer mengambil keuntungan dari kelemahan kata sandi mereka dalam koneksi RDP bukanlah sesuatu yang terutama mempengaruhi pengguna rumahan. Para korban adalah komputer yang agak tidak dijaga atau yang merupakan bagian dari taman komputer yang terhubung di tempat-tempat umum, kantor atau organisasi yang tidak memiliki pembaruan berkala atau yang administrasi sangat sporadis.

Kata sandi yang lebih kompleks, mengubahnya dari waktu ke waktu, menggunakan jaringan VPN dan firewall adalah beberapa solusinya

Dan bagaimanapun, itu adalah masalah dengan solusi yang lebih sederhana daripada yang terlihat. Selain memperbarui sistem operasi, jika tidak dengan versi yang lebih baru ya dengan semua patch keamanan diterbitkan oleh Microsoft, Anda juga harus tetap memperbarui peramban Anda.

Adapun Koneksi RDPJika tidak ada pilihan lain selain mengaktifkannya, ada beberapa hal yang bisa dilakukan untuk membuatnya lebih aman. Kata sandi yang lebih kompleks, ubah dari waktu ke waktu, manfaatkan Jaringan VPN yang mencegah akses ke koneksi RDP ke internet secara langsung, gunakan firewall yang membatasi desktop jarak jauh ke alamat IP tertentu …

Lebih banyak solusi Gunakan server gateway RDP, tersedia dalam versi terbaru dari Windows Server. Gateway ini meningkatkan keamanan akses, karena memungkinkan Anda untuk menggunakan sertifikat TLS, otentikasi titik ke titik, batasan pengguna …