Ondernemingen die na de COVID-19 pandemie gedwongen zijn om gebruik te maken van een remote werkomgevingen, hebben zichzelf mogelijk blootgesteld aan de mogelijkheid van RDP-aanvallen (Remote Desktop Protocol).
In het begin van 2020 werd de wereldwijde Lockdown ingevoerd waardoor een hele hoop ondernemers vanuit huis gingen werken door middel van remote desktop software. De pandemie werd een uitgelezen kans voor hackers om RDP-aanvallen uit te voeren door openbare servers met open poorten en niet-gepatchte kwetsbaarheden te identificeren en deze zwakke punten te exploiteren. Hackers gebruikten vervolgens veelgebruikte inbraaktechnieken, zoals brute force-wachtwoordaanvallen, om toegang te krijgen tot de kwetsbare infrastructuur en gegevens van deze organisaties.
Eenmaal binnen maken aanvallers misbruik van niet-gepatchte veelvoorkomende kwetsbaarheden en blootstellingen (CVE’s). Elke CVE-vermelding heeft een unieke identificatie, bestaande uit het jaar van publicatie en een viercijferig serienummer. CVE-2019-1182 is bijvoorbeeld een ‘wormbare’ kwetsbaarheid uit 2019, wat betekent dat malware die misbruik maakt van een server met deze kwetsbaarheid zich kan verspreiden van de ene kwetsbare computer naar de andere zonder tussenkomst van de gebruiker.
Een andere wormbare kwetsbaarheid, CVE-2019-07083, wordt gebruikt voor het uitvoeren en misbruiken van externe code en levert kwaadaardige Ransomware payloads op gerichte machines. Aanvallers die controle hebben over een enkele machine, kunnen gebruikersrechten escaleren, waardevolle gegevens ex filtreren en vervolgens malware verspreiden naar een andere machine in het netwerk. Met deze voet aan de grond in escalatie van privileges, kunnen aanvallers snel malware en Ransomware verspreiden in de hele organisatie. Dit soort aanvallen begint allemaal met een RDP-aanval.
Hoe RDP-aanvallen te voorkomen
Dergelijke aanvallen zijn tot op zekere hoogte onvermijdelijk. Maar er zijn stappen die organisaties kunnen nemen om kwetsbaarheden beter te detecteren en effectiever te reageren als er een aanval plaatsvindt.
Soms is het blokkeren van alle open RDP-poorten geen optie, bijvoorbeeld wanneer ingenieurs en beheerders toegang nodig hebben voor bedrijfscontinuïteit. In deze gevallen moeten controlelogboeken continu worden geregistreerd en gecontroleerd op verdachte activiteiten. Houd authenticatielogboeken in de gaten met gebeurtenis-ID 4625 die bestemd zijn voor de potentiële servers die kunnen worden misbruikt. Houd een cumulatieve telling bij van de verschillende gebruikersnamen die proberen in te loggen.
Let nauwkeurig op mislukte aanmelding en inkomende RDP-verbindingen. Leg IP-adressen vast die dit gedrag vertonen en volg hun activiteiten. Vergelijk vervolgens dat IP-adres met alle verdachte activiteiten die plaatsvinden op machines op het netwerk. Als je succesvolle, maar verdachte aanmeldingen met RDP waarneemt, onderzoek dan de doelserver om de kwaadaardige vector te identificeren. Vervolgens kun je de dreiging beheersen en uitroeien voordat deze andere machine (s) op het netwerk infecteert.
Je dient ook kwetsbaarheidsbeoordelingen uit te voeren voor elke openbare server en onmiddellijk alle gevonden servers te patchen. Een vertraging bij het patchen van bekende kwetsbaarheden verhoogt het risico op een aanval. Als RDP-poorten open moeten blijven, integreer dan een jump-server in jou netwerk. Een jump-server is een gehard, nauwkeurig gecontroleerd apparaat dat zich tussen twee verschillende beveiligingszones bevindt en kan helpen de toegang tot meer gevoelige infrastructuur en gegevens te beperken. Door RDP- of SSH-communicatie te vereisen om via een jump-server te gaan, kunnen kwaadwillende factoren voorkomen dat malware wordt verspreid of worden ze beperkt tot servicepoorten met gecontroleerde toegang.
Je zou ook de servertoegang en IP-verbindingen beperken tot geautoriseerde gebruikers. Gebruik sterke wachtwoorden en handhaaf de wachtwoord sterkte. Gebruik een aangepaste poort voor RDP om poortscanners te dwarsbomen; standaard luistert de server op poort 3389 voor zowel TCP als UDP. Het veranderen van de poort zal een vastberaden aanvaller niet stoppen, maar het zal je een moeilijker doelwit maken.
Hoe om te gaan met een aanval
Als, ondanks jou voorzorgsmaatregelen, een RDP-aanval slaagt, moet je een post-mortem uitvoeren en vaststellen wat er mis is gegaan. Zodra je de kwetsbaarheden kunt identificeren en eventuele mazen in de wet kunt oplossen. Door deze stappen te nemen, kun je jou bedrijf beschermen tegen toekomstige schade.
Denk je dat je gehackt bent of vermoed je dat je doelwit bent van een hack. Aarzel dan niet langer en neem het heft in eigen handen en neem contact op met Flexamedia. Wij schikken van de technische kennis en de benodigde utilities op het gebied van ICT beveiliging om er voor te zorgen dat jij weer zonder zorgen kunt verder werken.