روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ پژوهش‌های جدید نشان می‌دهد مجرمان سایبری می‌توانند پروتکل دسترسیِ ریموت به دسکتاپِ[1] ویندوزی را بعنوان ابزاری قدرتمند آن هم با هدف تقویت حملات DDoS[2] اکسپلویت کنند. به نقل از رولاند دابینز مهندس ارشد و اشتاینتور جارناسون تحلیلگر ارشد امنیت شبکه، مهاجمین می‌توانند از RDP برای اجرای حملات نوع «انعکاسی[3]»/«تقویتیِ[4]» UDP[5] استفاده کنند. با این حال همه سرورهای RDP را نمی‌شود بدین‌طریق بکار گرفت. این محققین هفته‌ی گذشته درگزارشی چنین اظهار کردند که این امر تنها زمانی محقق می‌شود که سرویس روی پورت UDP–که روی پورت استاندارد 3389 TCP اجرا می‌شود- فعالسازی شده باشد.

شرکت Netscout تاکنون بیش از 14 هزار سرور RDP ویندوزیِ (که پتانسیل اکسپلویت داشتند) شناسایی کرده است. مهاجمین می‌توانند از این سرورها در حملات DDoS خود استفاده‌ی سوء کنند- این خبرِ نگران‌کننده‌ایست زیرا در دوران قرنطینه‌ (به دلیل همه‌گیری ویروس کرونا) حجم فعالیت‌های آنلاین به طور بی‌سابقه‌ای افزایش یافته است. اوایل این هفته بود که محققین بدافزار جدیدی با نام Freakout شناسایی کردند که به منظور هدف‌گیری دستگاه‌های لینوکسی با حملات ،DDoS اندپوینت‌ها را به بات‌نت اضافه می‌کند. علاوه بر این، گرچه اولش فقط مهاجمین پیشرفته که به زیرساخت حمله‌ی DDoS دسترسی داشتند از متود «تقویتی» استفاده کردند اما محققین همچنین شاهد این بودند که سرورهای RDP در سرویس‌های DDoS توسط بوترها[6] اکسپلویت می‌شوند. این بدان معناست که «مهاجمین غیرپیشرفته و معمولی» نیز می‌توانند از نوع تقویتی برای تشدید حملات DDoS خود استفاده کنند. RDP بخشی از سیستم‌عامل مایکروسافت ویندوز است که به ایستگاه‌های کاری و سرورها دسترسیِ زیرساخت دسکتاپ مجازی ریموت و معتبر می‌دهد. ناظرین سیستم می‌توانند RDP را طوری تنظیم کنند که روی TCP port 3389 و/یا UDP port 3389 اجرا شود.

به نقل از محققین، مهاجمین می‌توانند ترافیک حمله تقویت‌شده را –متشکل از بسته‌های UDP قطعه قطعه نشده که منشاءشان UDP port 3389 است- برای هدف‌گیری یک آدرس آی‌پی مشخص و پورت انتخابیِ UDP ارسال کنند. دابینز و جارناسون در ادامه چنین توضیح می‌دهند که، «برخلاف ترافیک سشنِ قانونی RDP، بسته‌های حمله تقویت‌شده به طور مداوم طولِ 1260 بایتی دارند و با رشته‌های بلند صفر پوشش داده شدند». نفوذ به سرورهای Windows RDP بدین روش، تأثیر بزرگی روی سازمان‌های قربانی می‌گذارد؛ از جمله «قطعیِ کامل یا جزئی سرویس‌های ریموت "مأموریت حیاتی[7]"» . محققین به این نکته اشاره می‌کنند که، «فیلتر عمده‌ی همه‌ی ترافیک‌هایی که منبعشان UDP/3389 است –توسط عاملین شبکه- ممکن است به طور بالقوه ترافیک قانونی اینترنت را از جمله ریپلای‌های قانونی سشن ریموت RDP مسدود سازد».

برای کاهش استفاده از RDP برای تقویت حملات DDoS و تأثیرات مربوطه‌، محققین به ادمین‌های سیستم‌های ویندوزی چند توصیه دارند. اولی که بسیار هم اهمیت دارد این است که باید پشت متمرکزکننده‌های وی‌پی‌ان، سرورهای ویندوزی RDP را به کار گیرند تا نشود از آن‌ها برای تقویت حملات DDoS استفاده کرد. دابینز و جارناسون چنین توصیه می‌کنند که، «اپراتورهای شبکه می‌بایست برای شناسایی سرورهای آسیب‌پذیری Windows RDP روی شبکه‌های خود و/یا شبکه‌های مشتریانشان عملیات اکتشاف انجام دهند. به شدت توصیه می‌شود که سرورهای RDP از طریق سرویس‌های وی‌پی‌ان قابلیت دسترسی داشته باشند تا بدین‌ترتیب از هر گونه سوءاستفاده محافظت شوند». اگر چنین کاهشی ممکن نیست نیز پیشنهاد دیگر این محققین به ادمین‌های سیستم این است که (در قالب اقدامی موقتی) دست‌کم از طریق UDP port 3389 پروتکل دسکتاپ ریموت را غیرفعال کنند. ترافیک شبکه دسترسی به اینترنت از جانب پرسنل داخل سازمان باید از ترافیک اینترنت به/از اینترنت عمومی جداسازی شده و از طریق لینک‌های انتقال اینترنتی مُجزا ارائه گردد. به گفته‌ی محققین، اپراتورهای شبکه اینترنتی همچنین باید برای همه زیرساخت‌های مرتبط شبکه، معماری‌ها و عملیات‌ها از جمله سیاست‌های دسترسی شبکه -مختص یک موقعیت خاص- (که تنها ترافیک نت را از طریق پروتکل‌ها و پورت‌های آی‌پی‌ِ لازم مجاز می‌داند) از [8]BCPها استفاده کنند.

[1]Remote Desktop Protocol (RDP)، یک پروتکل اختصاصی توسعه یافته توسط مایکروسافت است که کاربر را قادر می‌سازد تا با یک رابط گرافیکی به یک کامپیوتر دیگر که در مکانی دیگر قرار گرفته‌است متصل شود.

[2]حمله محروم‌سازی از سرویس

[3] reflection

[4] amplification

[5]قرارداد بسته دادهٔ کاربر، یکی از اجزاء اصلی مجموعه پروتکل اینترنت، مجموعه‌ای از پروتکل‌های شبکه که در اینترنت مورد استفاده قرار می‌گیرند، می‌باشد.

[6] booter

[7] mission-criticalبه هر عاملی (اجزا، تجهیزات، پرسنل، پروسه، روند، نرم‌افزار وغیره) می‌گویند که عملکرد سازمان بدان عمیقاً نیاز دارد.

[8] Best Current Practices

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.