В начале июня «Лаборатория Касперского» выпустила обновления для своих продуктов, которые включали систему обнаружения вторжений (IDS — IntrusionDetectionSystem), а теперь у нее появилась способность выявлять попытки RDP-атак полным перебором (RDP — протокол удаленного рабочего стола). Собранная с тех пор статистика сильно удручает: десятки тысяч жертв, ежедневно с 3 июня свыше тысячи обнаружений. Ряд возможных нападавших уже определены, но расследование продолжается. IDS засекает этот тип атаки как Bruteforce.Generic.RDP.
Протокол удаленного рабочего стола является проприетарным протоколом Microsoft, обеспечивающим пользователю графического интерфейса подключение к другому компьютеру по сети. Протокол широко применяется системными администраторами для дистанционного управления серверами и другими ПК, а иногда им пользуются и обычные (ну ладно, продвинутые) юзеры.
Атака полным перебором так называется неспроста. Так как она заключается в систематической проверке всех возможных ключей или паролей до получения верного (что зверски примитивно), эта атака требует внушительной вычислительной мощности. Однако, в свою очередь, она может с успехом использоваться против почти любых зашифрованных данных, кроме тех, которые зашифрованы надежным информационно-теоретическим способом (в Википедии есть понятное простым смертным объяснение – на англ.).
Но все же, когда речь идет о борьбе с короткими паролями, этот метод может оказаться быстрым и простым. Особенно, когда доступны хорошие вычислительные ресурсы, а пароли слабые (самыми слабыми являются простые словарные слова). Метод менее эффективен с более длинными и сложными паролями, но опять же, имея распределенные ресурсы (большой ботнет, например), подбирать пароли относительно легко – дело времени.
В прошлом году была совершена масштабная атака полным перебором на админские консоли WordPress. Кто-то с массивным ботнетом запустил «внутреннюю проверку» паролей пользователей. Бомбардировки были настолько серьезными, что имели эффект обычных DDoS-атак.
Теперь (и, по-видимому, уже довольно давно), мишенью для атак методом грубой силы стал RDP.
Несмотря на разработку протокола в Microsoft, RDP-клиенты доступны для всех наиболее часто используемых современных ОС, включая Linux, Unix, OS X, iOS и даже Android. Серверное программное обеспечение существует для Windows, Unix и OS X. По умолчанию сервер прослушивает TCP-порт 3389 и UDP-порт 3389.
Взлом RDP-соединения – дело довольно прибыльное. Если злоумышленник получает пару логина и пароля для RDP, он или она успешно завладевает системой, на которой установлен сервер RDP. Затем злоумышленники могут подсадить вредоносные программы в уязвимую систему, выуживать данные и т.д. Он (или она) также может получить доступ к внутренней сети вашей компании при условии, что «взломанная» рабочая станция подключена к ней, или попытаться считать все пароли в браузере, установленном на системе жертвы. Возможностей масса, и последствия могут быть плачевными.
Преступники хорошо знают об этом. Существует уже несколько готовых наборов программного обеспечения, предназначенного для взлома пар логинов и паролей RDP — ncrack, FastRDPBrute, например.
Как видно на скриншоте, интерфейс Fast RDP Brute очень понятен и прост. Там только одно показано неверно: «хорошая» пара «админ:админ» на самом деле худшая из всех.
А вот как выглядит статистика RDP-атак на наших пользователей:
Как видим, Россия и Соединенные Штаты подвергаются большинству нападений вообще, а за ними следует Турция. Страны Западной Европы тоже под огнем слишком, а вместе с ними и Бразилия.
Около 64% целей являются серверами, что также неудивительно.
Злоумышленники, как правило, не выбирают конкретные цели с самого начала. Сперва они запускают некие масштабные кампании в целях собрать длинный список вероятных уязвимых объектов, который затем отсортировывают с точки зрения потенциальной ценности. Тем не менее, угон сервера является куда более выгодным результатом, чем заражение скромного десятилетней давности компьютера на Windows XP. Хотя они оба могут использоваться для рассылки спама или запуска DDoS-атак, обладание сервером означает получение много больших вычислительных ресурсов и широких каналов связи, а также, в перспективе, сулит полный контроль над всем входящим и исходящим трафиком. А это уже пригодится в случае направленной атаки на бизнес, которому принадлежит данный сервер.
По-видимому, есть лишь один способ противостоять таким атакам: выбирать пароли с умом и часто их менять.