[Перевод] “Crysis” во всем мире через RDP-протокол23.09.2016 15:18

Две недели назад мы наблюдали атаку шифровальщика на сервер, принадлежащий одной французской компании. Это был один из вариантов семейства шифровальщиков Crysis. Ежедневно мы видим тысячи попыток заражения со стороны шифровальщиков, но этот случай привлек наше внимание, т.к. файл, каким-то образом, появившийся на компьютере, предположительно никем не использовался и не должен был использоваться, при этом на компьютере не был запущен ни один почтовый агент или Интернет-браузер.

Как он попал на компьютер?

Почему средства безопасности на сервере позволили этому файлу попасть туда? Мы решили найти ответ именно на этот вопрос, а потому начали свое исследование. Оказывается, на этом сервере работает протокол удаленного рабочего стола Remote Desktop Protocol (RDP), и кибер-преступники использовали атаку типа brute force attack, благодаря которой смогли подобрать регистрационные данные и получить удаленный доступ к серверу.

Немного истории: т.к. большинство пользователей не включают двухфакторную авторизацию, а их пароли не являются такими сложными или случайными, то достаточно просто проникнуть на сервер, используя такой тип атаки методом перебора с помощью хорошего словаря или проверяя наиболее часто используемые комбинации. Такая техника не нова. Я помню, больше года назад на испанские компании обрушилась одна волна шифровальщиков, использующих точно такую же технику. Как правило, кибер-преступники осуществляют такие атаки ночью или в течение выходных дней, когда в офисах мало народу или вообще никого нет.

Кибер-преступники проникли на сервер, используя атаку типа brute force, перебирая пароли с помощью хорошего словаря или проверяя наиболее часто используемые комбинации.

В данном случае атака на сервер началась 16 мая, когда они осуществили 700 попыток подключения. Они осуществлялись автоматически, примерно в течение двух часов. Большинство подобных атак осуществлялось в период с 1 до 3 часов или с 3 до 5 часов ночи. Каждый день. Количество попыток подключения менялось: например, 18 мая их было 1976, а 1 июля — 1342.

Спустя почти четыре месяца и выполнив свыше 100 000 попыток подключения, хакеры все же сумели проникнуть на сервер и запустить шифровальщика Crysis.

Это всемирный Crysis

На этой неделе наши коллеги из Trend Micro опубликовали статью, в которой предупредили о подобных атаках, произошедших в Австралии и Новой Зеландии, когда также использовали варианты Crysis. К сожалению, мы можем сказать, что они были не только в этих странах — данные атаки осуществляются во всем мире (по крайней мере, с мая).

Предположим, что Вам необходимо иметь протокол RDP, запущенный и подключенный к Интернету, а потому, помимо мониторинга попыток подключения, который позволит Вам узнать о том, что Вы подвергаетесь атаке, Вам следует также использовать сложные пароли. Самый лучший вариант — это внедрить двухфакторную авторизацию, например, с паролем через SMS, в результате чего подбор паролей станет бесполезным занятием.

Автор статьи: Луис Корронс

Комментарии (10)

• LoadRunner

  23 сентября 2016 в 12:53

  0

  ↑

  ↓

  Самый лучший вариант — это внедрить двухфакторную авторизацию, например, с паролем через SMS, в результате чего подбор паролей станет бесполезным занятием.

  А подключение по RDP через VPN только с разрешённых IP проблему не решает?

  • Alex_2016

    23 сентября 2016 в 12:54

    0

    ↑

    ↓

    А подключение по RDP через VPN только с разрешённых IP проблему не решает?

    Скорее всего должно решать.

    • acyp

      23 сентября 2016 в 13:13

      0

      ↑

      ↓

      Не всегда применимо. У меня, например, шеф любит путешествовать, но при этом систематически работает в той же 1сАвтоматизации 1.1, у которой веб-морды нормальной нету.
      К нему не прикрутишь ИП-блокировку. ВПН — это двойное шифрование, что не руль если канал худой. Ибо RDP 7 и выше на худых каналах относительно нормально живут, а вот ВПН — не очень.
      Блокировку по ошибкам тоже опасаюсь, ибо кричит шибко громко :), а ошибаться бывает.
      Скрипт объективно спасает.

• acyp

  23 сентября 2016 в 12:53

  0

  ↑

  ↓

  … или простой скрипт на powershell, который сообщает о всех фактах авторизации и попытках авторизации. эт в отсутствии централизованной системы контроля доступа.

  • Alex_2016

    23 сентября 2016 в 12:57

    0

    ↑

    ↓

    … или простой скрипт на powershell, который сообщает о всех фактах авторизации и попытках авторизации. эт в отсутствии централизованной системы контроля доступа.

    Спасибо. И это, как вариант, тоже решит проблему.

• ARad

  23 сентября 2016 в 13:01

  0

  ↑

  ↓

  Если у вас на сервере есть что то к чему можно подключиться используя пароль, значит вам НАДО иметь стойкий пароль и еще желательно другие способы защиты. А их много начиная от ограничения неверных попыток, ограничения IP и т. д.

• AcidVenom

  23 сентября 2016 в 13:02 (комментарий был изменён)

  0

  ↑

  ↓

  … или поднять домен и настроить блокировку учетки на произвольное время при 5+ неверных вводах пароля.

• dmitry_dvm

  23 сентября 2016 в 13:20

  +1

  ↑

  ↓

  Тот же RDP можно настроить на таймауты между попытками и блокировать на час после нескольких неудачных. И никакой брутфорс будет не страшен. Как всегда паника вместо изучения вопроса.

  • fpir

    23 сентября 2016 в 14:41

    0

    ↑

    ↓

    10 минут, думаю, достаточно. При 7-значном пароле с буквами и цифрами и сроком жизни.

• uniqm

  23 сентября 2016 в 13:29

  0

  ↑

  ↓

  Имел опыт борьбы с подобными ботами (одна атака была успешной, но вместо крипто запустили скрипт майнинга биткойнов на половину ядер сервера ^^), для начала лечилось банальной сменой порта RDP из вне (3389 на любой другой) и переименованием учеток типа Администратор, admin, user, user1 и тд. на более несловарные.