RDP-aanvalpatronen geïdentificeerd door Sophos

Sophos laat aan Techzine weten patronen geïdentificeerd te hebben die gebruikt worden door hackers bij Remote Desktop Protocol (RDP)-aanvallen. Het afgelopen jaar werd deze techniek gebruikt bij twee grote ransomwareaanvallen, te weten SamSam en Matrix.

De reden van het onderzoek is de recente publiciteit rondom een fout in de remote RDP-code BlueKeep, zegt Matt Boddy, securityspecialist bij Sophos: “Deze kwetsbaarheid is zo ernstig dat het kan worden gebruikt om ransomware-uitbraken in gang te zetten die zich in no-time over de hele wereld kunnen verspreiden. Beveiliging tegen RDP-dreigingen gaat echter veel verder dan patchen tegen Blue Keep; het is slechts het topje van de ijsberg. Naast de ‘zorg’ om BlueKeep moeten IT-managers veel meer tijd besteden aan RDP. Uit ons onderzoek blijkt namelijk dat cybercriminelen bezig zijn met het onderzoeken van alle potentieel kwetsbare computers die RDP 24/7 met aanvallen met wachtwoordschattingen blootlegt.”

Het onderzoek, dat nu vrij beschikbaar is, toont een drietal patronen aan waarmee hackers proberen om RDP-apparatuur te vinden zodra deze online verschijnen. Met tien honeypots die Sophos geografisch verspreid heeft, heeft het bedrijf geprobeerd om de risico’s van RDP in kaart te brengen. Het onderzoek toont aan dat alle tien de honeypots binnen een dag hun eerste inlogpoging mochten ‘verwelkomen’. Ook stellen Remote Desktop Protocollen pc’s in slechts 84 seconden bloot aan aanvallen. Daarnaast werd er gemiddeld één poging per zes seconden gemeten voor een totaal van 4.298.513 inlogpogingen gedurende 30 dagen. Het onderzoek laat zien dat hackers eigen technieken gebruiken voor deze aanvallen, en niet per se alleen sites van derden gebruiken.

Patronen

Het onderzoek toont verder aan dat er drie veelvoorkomende aanvalspatronen geïdentificeerd kunnen worden. Ten eerste is er de ‘ram’, een strategie die het wachtwoord van de systeemadministrator probeert te onthullen. Ter illustratie: een Ierse honeypot werd binnen tien dagen meer dan 100.000 keer aangevallen met slechts drie gebruikersnamen. Ten tweede is er de ‘zwerm’, een strategie die sequentiële gebruikersnamen en een eindig aantal van de slechtste wachtwoorden gebruikt. Denk aan het gebruiken van de naam ABrown, vervolgens BBrown, CBrown, enzovoort. Ten derde is er de ‘egel’, een techniek die hoge pieken van activiteit afwisselt met periodes van inactiviteit. Iedere ‘spike’ wordt dan gelanceerd vanaf een ander IP-adres.

Volgens Sophos groeit het aantal RDP-aanvallen enorm, en zouden bedrijven moeten inzetten op een vermindering van deze werkwijze waar dat mogelijk is. Daarnaast is het volgens het bedrijf belangrijker dan ooit dat er sluitend wachtwoordbeleid wordt uitgevoerd en de dat juiste beveiligingsprotocollen worden gebruikt.