8 października botnet obejmujący wiele krajów, korzystający z ponad 100 000 adresów IP, zaczął atakować usługi protokołu Remote Desktop Protocol w Stanach Zjednoczonych. Badacze z platformy monitorowania zagrożeń GreyNoise śledzą tę zakrojoną na szeroką skalę kampanię, która ich zdaniem jest prowadzona przez rozległy botnet. Remote Desktop Protocol (RDP) to protokół sieciowy umożliwiający zdalne łączenie się z systemami Windows i sterowanie nimi. Jest powszechnie używany przez administratorów, pracowników pomocy technicznej i pracowników zdalnych. Osoby atakujące często atakują protokół, skanując w poszukiwaniu otwartych portów RDP, próbując zalogować się metodą brute-force, wykorzystując luki w zabezpieczeniach lub przeprowadzając ataki czasowe w celu uzyskania nieautoryzowanego dostępu. Na potrzeby tej kampanii badacze GreyNoise odkryli, że botnet wykorzystuje dwie specyficzne techniki ataków związane z protokołem RDP w celu wyliczenia kont użytkowników. Metody obejmują:
- Ataki czasowe dostępu do usług internetowych RD: Sondy te mierzą różnice w czasie odpowiedzi podczas anonimowych przepływów uwierzytelniania w punktach końcowych programu RD Web Access w celu wywnioskowania prawidłowych nazw użytkowników.
- Wyliczenie logowania klienta WWW RDP: Technika ta wchodzi w interakcję z przepływem logowania klienta sieci Web RDP, obserwując różnice w zachowaniu serwera i odpowiedziach w celu identyfikacji kont użytkowników.
Najpierw GreyNoise wykryty kampanię po zaobserwowaniu niezwykłego wzrostu ruchu z Brazylii. Podobną aktywność zarejestrowano następnie w Argentynie, Iranie, Chinach, Meksyku, Rosji, Republice Południowej Afryki i Ekwadorze. Według firmy pełna lista krajów, w których znajdują się skompromitowane urządzenia uczestniczące w botnecie, przekracza obecnie 100.
Obraz: GreyNoiseAnaliza techniczna wykazała, że prawie wszystkie atakujące adresy IP mają wspólny odcisk palca TCP. Chociaż badacze zauważyli różnice w maksymalnym rozmiarze segmentu, uważają, że różnice te wynikają z różnych klastrów zainfekowanych maszyn tworzących infrastrukturę botnetu. Aby obronić się przed tą aktywnością, administratorom systemu zaleca się blokowanie adresów IP rozpoczynających ataki i przeglądanie dzienników systemowych pod kątem podejrzanych sondowań RDP. Zgodnie z ogólną najlepszą praktyką w zakresie bezpieczeństwa usługi PROW nie powinny być udostępniane bezpośrednio w publicznym Internecie. Dodanie VPN i uwierzytelniania wieloskładnikowego (MFA) zapewnia dodatkową warstwę ochrony.
