ความสามารถของแฮกเกอร์ในการใช้ประโยชน์จากช่องโหว่เกือบทุกประเภทเป็นหนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดสำหรับการบังคับใช้กฎหมายและธุรกิจขนาดเล็ก สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาได้ออกคำเตือนเมื่อเร็ว ๆ นี้แก่ธุรกิจและผู้อื่นเกี่ยวกับภัยคุกคามอื่น แฮกเกอร์ได้เริ่มใช้ประโยชน์จาก Remote Desktop Protocol (RDP) เพื่อดำเนินกิจกรรมที่เป็นอันตรายที่มีความถี่มากขึ้น
FBI ระบุว่าการใช้ Remote Desktop Protocol เป็นเวกเตอร์การโจมตีเพิ่มขึ้นตั้งแต่กลางปีถึงปลายปี 2559 การโจมตี RDP ที่เพิ่มขึ้นส่วนหนึ่งเป็นผลมาจากตลาดมืดที่ขายการเข้าถึงโปรโตคอลเดสก์ท็อประยะไกล นักแสดงที่ไม่ดีเหล่านี้ได้ค้นพบวิธีในการระบุและใช้ประโยชน์จากเซสชัน RDP ที่มีช่องโหว่ผ่านทางอินเทอร์เน็ต
$config[code] not foundสำหรับธุรกิจขนาดเล็กที่ใช้ RDP เพื่อควบคุมคอมพิวเตอร์ที่บ้านหรือที่ทำงานในระยะไกลจำเป็นต้องมีความระมัดระวังมากขึ้นรวมถึงการใช้รหัสผ่านที่คาดเดายากและเปลี่ยนเป็นประจำ
ในการประกาศของ FBI เตือนว่า“ การโจมตีโดยใช้โปรโตคอล RDP นั้นไม่ต้องการการป้อนข้อมูลของผู้ใช้ทำให้การบุกรุกตรวจจับได้ยาก”
Remote Desktop Protocol คืออะไร
ออกแบบมาสำหรับการเข้าถึงและการจัดการจากระยะไกล RDP เป็นวิธีของ Microsoft สำหรับการถ่ายโอนข้อมูลแอปพลิเคชันที่ง่ายขึ้นระหว่างผู้ใช้ไคลเอ็นต์อุปกรณ์เดสก์ท็อปเสมือนจริงและเซิร์ฟเวอร์เทอร์มินัลโปรโตคอลเดสก์ท็อประยะไกล
พูดง่ายๆคือ RDP ช่วยให้คุณควบคุมคอมพิวเตอร์ของคุณจากระยะไกลเพื่อจัดการทรัพยากรและเข้าถึงข้อมูล คุณลักษณะนี้มีความสำคัญสำหรับธุรกิจขนาดเล็กที่ไม่ได้ใช้คลาวด์คอมพิวติ้งและพึ่งพาคอมพิวเตอร์หรือเซิร์ฟเวอร์ที่ติดตั้งในสถานที่
นี่ไม่ใช่ครั้งแรกที่ RDP นำเสนอปัญหาด้านความปลอดภัย ในอดีตเวอร์ชันแรกมีช่องโหว่ซึ่งทำให้พวกเขาอ่อนแอต่อการโจมตีแบบคนกลางทำให้ผู้โจมตีเข้าถึงโดยไม่ได้รับอนุญาต
ระหว่างปี 2002 ถึง 2017 Microsoft ได้ออกการปรับปรุงซึ่งแก้ไขช่องโหว่หลัก 24 รายการที่เกี่ยวข้องกับ Remote Desktop Protocol เวอร์ชั่นใหม่มีความปลอดภัยมากกว่า แต่การประกาศของ FBI ชี้ให้เห็นว่าแฮ็คเกอร์ยังคงใช้มันเป็นเวกเตอร์สำหรับการโจมตี
Remote Desktop Protocol แฮ็ค: ช่องโหว่
FBI ระบุช่องโหว่หลายช่อง แต่เริ่มต้นด้วยรหัสผ่านที่อ่อนแอ
หน่วยงานกล่าวว่าหากคุณใช้คำในพจนานุกรมและคุณไม่ได้รวมตัวอักษรตัวพิมพ์ใหญ่และตัวพิมพ์เล็กตัวเลขและอักขระพิเศษรหัสผ่านของคุณมีความเสี่ยงต่อการโจมตีแบบดุเดือดและพจนานุกรม
Remote Desktop Protocol ที่ล้าสมัยซึ่งใช้โปรโตคอล Credential Security Support Provider (CredSSP) ก็มีช่องโหว่เช่นกัน CredSSP เป็นแอปพลิเคชันที่มอบหมายข้อมูลประจำตัวของผู้ใช้จากไคลเอนต์ไปยังเซิร์ฟเวอร์เป้าหมายสำหรับการตรวจสอบสิทธิ์ระยะไกล RDP ที่ล้าสมัยทำให้สามารถเริ่มการโจมตีจากคนกลางได้
ช่องโหว่อื่น ๆ รวมถึงการอนุญาตให้เข้าถึงพอร์ต Remote Desktop เริ่มต้นที่ไม่ จำกัด (TCP 3389) และอนุญาตการพยายามล็อกอินโดยไม่ จำกัด
แฮ็คโพรโทคอลเดสก์ท็อประยะไกล: ภัยคุกคาม
นี่คือตัวอย่างบางส่วนของภัยคุกคามตามที่ระบุโดย FBI:
CrySiS Ransomware: CrySIS ransomware มุ่งเป้าหมายไปที่ธุรกิจของสหรัฐอเมริกาเป็นหลักผ่านพอร์ต RDP แบบเปิดโดยใช้การโจมตีแบบดุร้ายและการโจมตีพจนานุกรมเพื่อเข้าถึงระยะไกลโดยไม่ได้รับอนุญาต จากนั้น CrySiS จะปล่อย ransomware ลงในอุปกรณ์และดำเนินการ ผู้กระทำการข่มขู่ต้องการชำระเงินเป็น Bitcoin เพื่อแลกกับคีย์ถอดรหัส
CryptON Ransomware: CryptON ransomware ใช้การโจมตีแบบ brute-force เพื่อเข้าถึงเซสชัน RDP จากนั้นอนุญาตให้นักแสดงภัยคุกคามดำเนินการโปรแกรมที่เป็นอันตรายด้วยตนเองบนเครื่องที่ถูกโจมตี โดยปกติแล้วนักแสดง Cyber ร้องขอ Bitcoin เพื่อแลกเปลี่ยนกับทิศทางการถอดรหัส
Samsam Ransomware: Samsam ransomware ใช้การหาช่องทางที่หลากหลายรวมถึงเครื่องที่โจมตีเครื่องที่เปิดใช้งาน RDP เพื่อทำการโจมตีแบบเดรัจฉาน ในเดือนกรกฎาคม 2018 นักแสดง Samsam ใช้การจู่โจมอย่างโหดเหี้ยมกับข้อมูลการเข้าสู่ระบบ RDP เพื่อแทรกซึม บริษัท ด้านการดูแลสุขภาพ Ransomware สามารถเข้ารหัสเครื่องนับพันก่อนการตรวจจับ
Dark Web Exchange: นักแสดงภัยคุกคามซื้อและขายข้อมูลรับรองการเข้าสู่ระบบ RDP ที่ถูกขโมยบน Dark Web มูลค่าของข้อมูลรับรองจะพิจารณาจากที่ตั้งของเครื่องที่ถูกบุกรุกซอฟต์แวร์ที่ใช้ในเซสชันและคุณลักษณะเพิ่มเติมใด ๆ ที่เพิ่มความสามารถในการใช้งานของทรัพยากรที่ถูกขโมย
การแฮ็กโปรโตคอลเดสก์ท็อประยะไกล: คุณจะป้องกันตัวเองได้อย่างไร
เป็นสิ่งสำคัญที่ต้องจำทุกครั้งที่คุณพยายามเข้าถึงบางสิ่งจากระยะไกลที่มีความเสี่ยง และเนื่องจาก Remote Desktop Protocol ควบคุมระบบอย่างสมบูรณ์คุณควรควบคุมดูแลและจัดการผู้ที่สามารถเข้าถึงได้อย่างใกล้ชิด
จากการใช้แนวปฏิบัติที่ดีที่สุดต่อไปนี้ FBI และกระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐกล่าวว่าคุณมีโอกาสที่ดีกว่าในการโจมตีโดยใช้ RDP
- เปิดใช้งานรหัสผ่านที่คาดเดายากและนโยบายการล็อคบัญชีเพื่อป้องกันการโจมตีที่โหดร้าย
- ใช้การรับรองความถูกต้องด้วยสองปัจจัย
- ใช้การอัปเดตระบบและซอฟต์แวร์เป็นประจำ
- มีกลยุทธ์การสำรองข้อมูลที่เชื่อถือได้พร้อมระบบการกู้คืนที่แข็งแกร่ง
- เปิดใช้งานการบันทึกและตรวจสอบให้แน่ใจว่ากลไกการบันทึกเพื่อจับภาพการเข้าสู่ระบบ Remote Desktop Protocol เก็บบันทึกเป็นเวลาอย่างน้อย 90 วัน ในเวลาเดียวกันให้ตรวจสอบการเข้าสู่ระบบเพื่อให้แน่ใจว่ามีเพียงผู้ที่สามารถเข้าถึงได้เท่านั้นที่ใช้งาน
คุณสามารถดูคำแนะนำที่เหลือได้ที่นี่
พาดหัวข่าวของการรั่วไหลของข้อมูลอยู่ในข่าวเป็นประจำและมันเกิดขึ้นกับองค์กรขนาดใหญ่ที่มีทรัพยากรไม่ จำกัด แม้ว่าอาจเป็นไปไม่ได้ที่จะปกป้องธุรกิจขนาดเล็กของคุณจากภัยคุกคามทางไซเบอร์ทั้งหมด แต่คุณสามารถลดความเสี่ยงและความรับผิดของคุณได้หากคุณมีโปรโตคอลที่ถูกต้องพร้อมกับการกำกับดูแลที่เข้มงวดสำหรับทุกฝ่าย
รูป: FBI
