Brian Krebs
do blog Krebs on Security acaba de postar um artigo sobre hacks mediante o RDP (artigo em inglês) que aproveitam credenciais
de acesso fracas ou predeterminadas, e descreve como isso é a base para a criação
de um negócio cibercriminal. Seu artigo explica que o site Makost[dot]net aluga
acesso a mais de 6000 servidores mal configurados, e por tanto comprometidos, com
funcionalidade RDP ativada. Kreb diz que “... os agressores simplesmente
precisam escanar a internet buscando hosts que escutem na porta 3389 (Microsoft
RDP), identificar nomes de usuário válidos, e depois tentar usar o mesmo nome
de usuário na senha.” É um clássico ataque de força bruta direcionado diretamente
a alvos extremadamente fracos.
Para quem
não sabe, o RDP (sigla em inglês para Protocolo de Escritório Remoto) é um
protocolo proprietário da Microsoft que fornece uma interface gráfica para
conectar um computador com sistema operacional Windows (o servidor) a qualquer
outro (o cliente) mediante uma rede, permitido que o servidor seja usado de
maneira remota desde o cliente.
Muitas
pessoas ao ler isto por primeira vez considerariam esta capacidade uma
“vulnerabilidade” do Windows, mas isso seria igual que dizer que um caixa
eletrônico tem uma vulnerabilidade que permite retirar dinheiro da sua conta
bancária. O RDP é uma funcionalidade do sistema operacional, e o Windows não é
o único sistema que tem este tipo de funcionalidade.
Uma ameaça que não usa malware nem exploits
O aspecto
interessante deste fenômeno de hacks mediante o RDP é que estas ameaças são baseadas
completamente no processo de acesso: não implicam malware nem as vulnerabilidades
dos sistemas (exploits). O fator central desta operação cibercriminal está baseado
em uma lista de contas comprometidas de computadores específicos em redes
específicas. Nenhum sistema de detecção de malware poderia identificar estas
ameaças porque elas usam credenciais de acesso válidas.
Este é um exemplo
perfeito do que eu quero descrever quando digo que os bandidos estão
trabalhando juntos de maneira produtiva, enquanto que os “caras bons” não estão.
Makost[dot]net é somente um dos vários corretores de informação do mercado
negro que vendem acesso a estes sistemas a qualquer pessoa com dinheiro.
Qualquer agressor pode começar de zero, usar um cartão de crédito e
imediatamente ter a capacidade de fazer um buraco no seu perímetro de
segurança.
Por outro
lado, um bom ponto de partida para que os “caras bons” comecem a trabalhar
juntos seria a criação de um sistema que notifique aos donos destes sistemas
comprometidos, porque enquanto eles não conheçam estas vulnerabilidades, os
atacantes terão uma porta aberta as suas redes. Os atacantes poderiam usar
estes computadores como um trampolim para ataques dirigidos a outras
organizações.
Aquilo que os sistemas de alerta nunca podem encontrar,
uma abordagem baseada em anomalias pode identificar
Se a sua
organização usa o RDP com algum propósito legítimo, é praticamente impossível identificar
quais acessos são válidos e quais são ataques, porque todos usam as mesmas
credenciais válidas - a não ser que você crie e atualize as linhas de base do
comportamento regular desses dispositivos com o RDP ativado. Não existe nada
que uma ferramenta de segurança possa detectar neste cenário, excetuando
divergências respeito à linha de base.
Esta ameaça
é particularmente perigosa neste mundo onde as máquinas virtuais (VM) são cada
dia mais comuns e comumente são clonadas massivamente. Praticamente todas as
máquinas virtuais têm a função de acesso remoto ativada, e os usuários que
criam estas máquinas virtuais comumente assumem, incorretamente, que elas
funcionarão em ambientes “seguros”.
Krebs
sugere correr um escanado rápido para buscar portas externas abertas nos endereços
de internet de uma organização e descobrir se algum sistema equipado com RDP
está ativado, e também aponta a este documento da Universidade da
Califórnia em Berkeley para encontrar recomendações adicionais sobre como assegurar
instalações do Windows com o RDP ativado. Este é um bom começo, mas eu
acrescentaria que você precisa imediatamente poder fazer estas três coisas:
#1 – Estabelecer
visibilidade dos seus dispositivos
#2 –
Estabelecer linhas de base do comportamento normal nesses dispositivos e entre
esses dispositivos
#3 –
Configurar uma maneira para começar a receber alertas regulares sobre
comportamento anormal em relação às linhas de base estabelecidas.
EnCase® Analytics pode ajuda-lo com estas três
coisas. No entanto, sites como Makost somente ilustram quão importante é que os
“caras bons” comecem a trabalhar juntos e com a mesma produtividade que os
bandidos têm mostrado.
Você tem
sugestões? Histórias de batalhas próprias? Incentivo uma discussão na sessão de
comentários a seguir.
Tradução do artigo original em inglês “RDPHacks: Thwarting the Bad-Guy Network” por Jason
Fredrickson.
RELACIONADOS
A Infraestrutura da Cibersegurança: Identificação, Colaboração e Defesa Proativa
Guerra na Fronteira: Resposta a Incidentes vs. Investigação Forense
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment