Microsoft przeanalizował 45 tys. ataków brute force z wykorzystaniem RDP

Microsoft przeanalizował 45 tys. ataków brute force z wykorzystaniem RDP

Autor: Krzysztof Sulikowski

Opublikowano: 1/7/2020, 6:31 PM

Liczba odsłon: 1829

Microsoft zgromadził dane ze zdarzeń związanych z logowaniem RDP z ponad 45 000 stacji roboczych chronionych przez Microsoft Defender Advanced Threat Protection. Zbieranie ich trwało kilka miesięcy i obejmowało m.in. nieudane i udane logowania RDP. Zdarzenia te w systemie Windows oznaczone są odpowiednio jako ID 4265 i 4264. Zawierają też nazwy użytkownika, których mógł użyć użytkownik/atakujący. Po przeanalizowaniu tych danych Microsoft podzielił się kilkoma ciekawymi spostrzeżeniami związanymi z metodą ataku brute force, jej skutecznością i czasem trwania ataku. Gigant opublikował też rekomendacje dla administratorów.

RDP to skrót od Remote Desktop Protocol. Jest to funkcjonalność Windows, która pozwala użytkownikom zalogować się do komputera w sposób zdalny, za pomocą interfejsu podobnego do pulpitu i za pośrednictwem publicznego adresu IP komputera i portu 3389. Protokół ten jest często używany w środowiskach korporacyjnych, aby umożliwić administratorom systemu zarządzanie serwerami i stacjami roboczymi, a także łączenie się pracowników będących poza biurem. RDP jest stosunkowo popularnym celem ataków przestępców, którzy korzystają z metody brute force. Jest to najbardziej prymitywna i potencjalnie czasochłonna metoda odgadnięcia danych logowania poprzez wprowadzanie wszystkich możliwych kombinacji. Wykorzystywane w niej są automatyczne narzędzia i słowniki. Jako że często treść haseł stanowią istniejące słowa, metoda słownikowa ma nieco wyższą skuteczność.

W atakach tych wykorzystuje się również kombinacje nazw użytkowników i haseł, które wyciekły do sieci po naruszeniach różnych usług. Jak podaje Microsoft, ostatnio zaobserwowane ataki RDP z użyciem brute force trwają średnio 2-3 dni. Atakujący starają się nie działać zbyt szybko, ponieważ wolą uniknąć zablokowania IP przez zaporę. Zamiast próbować setek czy tysięcy kombinacji logowania w krótkim czasie, przestępcy wysyłają tylko kilka kombinacji na godzinę. Jaka jest ich skuteczność?

Spośród tysięcy maszyn z wykrytym atakiem brute force na RDP w naszej analizie odkryliśmy, że tylko 0,08% zostało przejętych. Co więcej, we wszystkich firmach przeanalizowanych w ostatnich miesiącach przeciętnie wykryto jedną maszynę z wysokim prawdopodobieństwem przejęcia w rezultacie ataku brute force na RDP co 3-4 dni.
— Microsoft Defender ATP Research Team

Microsoft zaleca administratorom systemu łączenie i monitorowanie wielu sygnałów w celu wykrycia ruchu przychodzącego, mogącego wskazywać na atak brute force. Takie sygnały to m.in.:

  • Godzina i dzień tygodnia nieudanego logowania i połączenia RDP.
  • Czas pomyślnego logowania po nieudanych próbach.
  • Typ logowania Event ID 4625.
  • Niepowodzenia zdarzenia Event ID 4625.
  • Sumaryczna liczba odrębnych nazw użytkowników, których logowanie się nie powiodło.
  • Liczba (i sumaryczna liczba) nieudanych prób logowania.
  • Liczba (i sumaryczna liczba) zewnętrznych IP generujących ruch przychodzący RDP.
  • Liczba innych maszyn z połączeniami przychodzącymi RDP z jednego lub więcej tych samych IP.

Gigant przypomina też, że możliwości wykrywania anomalii zintegrowane są z Microsoft Defender ATP i w szerszym ujęciu — w Microsoft Threat Protection. Przy użyciu data science Microsoft będzie nadal łączył podejścia statystyczne i machine learningowe, aby udoskonalać pod tym kątem swój produkt.