RDP’nin güvenliği ihlal edildiğinde neler oluyor: Gerçekleştirilen tehdit eylemlerine pratik bir bakış
Her ne kadar ondan kurtulduğumuzu düşünmek istesek de, dışarıdan açığa çıkan RDP (bilinmeyen bir nedenden dolayı) hayatta ve iyi durumda kalıyor. Ve bu, ona güvenen kuruluşlar için BÜYÜK bir sorun. Beni yanlış anlamayın; RDP kullanmanın hiçbir yanlış tarafı yoktur; kuruluş için risk oluşturan şey, RDP’nin güvenli olmayan kullanımıdır (MFA yok, izleme yok, daha eski ana bilgisayar işletim sistemleri, herkesin unuttuğu tek seferlik açık sistemler vb.).
Ve bu o kadar büyük bir sorun ki, RDP’nin siber suçlular tarafından kötüye kullanılması, siber saldırıların mevcut durumuna ilişkin raporlarda yer almaya devam ediyor. Fidye yazılımı müdahale sağlayıcısı Coveware’in Üç Aylık Fidye Yazılımı Raporlarını alın; Coveware, 2018’den bu yana müşterileri için yanıt verdikleri fidye yazılımı saldırılarıyla ilgili (ilk saldırı vektörleri dahil) çeşitli istatistikleri sürekli olarak ele alıyor. RDP, 2018 yılında ilk saldırı vektörü olarak listelendi ( 1 numaraydı) ve 2023’te hala e-posta kimlik avının hemen arkasında, ancak güvenlik açıklarının önünde yer alıyor.
Peki, siber saldırılarda (fidye yazılımı veya başka türlü) RDP aslında nasıl kullanılıyor? Yüksek düzeyde, Sophos’un Teknoloji Liderleri için 2023 Aktif Rakip Raporuna bakabiliriz; burada biraz daha derin bir analize ulaşabiliriz:
- RDP, 2022’de %88 olan saldırıların %95’inde bir miktar rol oynadı
- Saldırıların %93’ünde RDP’nin dahili kullanımı, %18’inde ise harici kullanım görüldü
- Saldırıların %77’sinde RDP yalnızca dahili erişim ve yanal hareket için kullanıldı
Bu verilerden, RDP’nin hem bir kuruluşun ağına ilk giriş aracı olarak hem de ele geçirilen ağ içinde yanal olarak hareket etme aracı olarak kullanıldığını anlayabiliriz. Bu tek başına kendi kendinize “Tamam, RDP’den kurtulmanın zamanı geldi” diye düşünmeniz için yeterli bir gerekçe olmalıdır.
Peki tehdit aktörleri RDP aracılığıyla açıktaki bir uç noktanın kontrolünü ele geçirdiğinde gerçekte ne olur?
Genel olarak, bir saldırının nihai sonucuna ve adli tıp delillerinden nelerin ortaya çıktığının belirlenmesine dayanarak spekülasyon yapmamız gerekir. Bunu yapmak yerine, artık güvenlik satıcısı GoSecure tarafından 20.000’den fazla RDP oturumunun izlendiği ve özel olarak oluşturulmuş bir müdahale aracı kullanılarak 190 milyon tehdit eyleminin toplandığı, benzeri görülmemiş üç yıllık bir RDP bal küpü çalışmasının sonuçlarına sahibiz. Bu soruyu cevaplamak için 100 saatlik RDP oturumu görüntüsü.
5 Tür Tehdit Aktörünün Güvenliği Aşılmış Bir RDP Oturumunda Ne Yaptığı
20.000 oturum değerindeki tehdit eylemini sindirilebilir hale getirmek (ve görünüşe göre bazılarımızın içindeki Zindanlar ve Ejderhalar’ı veya “D&D” ineğini ifade etmek için!) GoSecure’daki nazik insanlar, etkinlikleri 5 tür D&D karakter sınıflandırmasına ayırdı:
- Korucular – D&D’de korucular yetenekli bir kaşif, zanaatkar ve avcıdır. GoSecure, bu tür tehdit aktörlerinin komut dosyaları veya araçlar kullanarak keşif yaptığını, ele geçirilen sistemin içeriğini keşfettiğini ve sistemin performansını kontrol ettiğini tespit etti. Devam eden teori, sistemi başka tür bir tehdit aktörü için değerlendirdikleri yönünde; bu, yalnızca kimlik bilgilerini satan ve bunun sonucunda uzaktan sistem erişimi sağlayan bir ilk erişim aracısının göstergesi olabilir.
- Hırsızlar – D&D’de hırsızlar, yani… hırsızlardır. Soyuyorlar, çalıyorlar, yankesiciler vs. Çok yönlü kötü adamlar. GoSecure, bu tehdit aktörlerini, ele geçirilen uç noktanın “duvarlarının” ötesine geçmeden elde edilen basit RDP erişiminden para kazanma niyetinde olanlar olarak nitelendiriyor. Eylemler arasında kripto madencilerin, proxy yazılımların, para kazandıran tarayıcıların vb. yüklenmesi yer alır.
- Barbarlar – D&D’de barbarlar savaşta başarılı olur. Bu nitelikteki tehdit aktörleri, ağınızın geri kalanını hacklemenin heyecanını seven kişilerdir. Ağınızdaki daha fazla bilgisayara kaba kuvvetle ulaşmak amacıyla IP adresi aralıklarını keşfedenler, kullanıcı adlarını ve şifreleri/karmaları/Kerberos biletlerini vb. bulanlar bunlardır.
- Sihirbazlar – D&D’de sihirbazlar, büyü yapma konusunda oldukça yeteneklidirler (ve genellikle gerçek bir savaş yetenekleri yoktur), imkansızı açıklama olmadan başarırlar (ör. “sihir”). GoSecure, RDP’yi sistemden sisteme “portal” (okuma: yanal hareket) için kullanan tehdit aktörlerini görüyor. Sihirbazlar karada yaşama konusunda çok yetenekli olduklarından ve nispeten kolaylıkla yanlara doğru hareket edebildiklerinden, bunlar tüm tehdit aktörleri arasında en yetenekli olanlar olabilir.
- Ozanlar – D&D’deki ozanlar bir tür “her işte ustadır”, kısmen müzisyen, kısmen dövüşçü, kısmen büyücüdür. Ancak genel olarak “hiçbirinin ustası” kategorisinde değiller. GoSecure’a göre ozanların “görünürde hackleme becerileri yok”; ele geçirilen RDP oturumunu, film indirme, porno izleme ve bilgisayar korsanlığıyla ilgili web aramaları yapma gibi çok daha kişisel ihtiyaçlar için kötüye kullanırlar.
Peki bu beş tür tehdit aktörünün dağılımı nedir? Hepsi sadece film mi izliyor? Yanal hareket mi ediyor? Kripto madencileri mi çalıştırıyorsunuz?
GoSecure siber güvenlik araştırmacılarının bu üç yıllık deneyin bulgularına ilişkin BlackHat 2023 sunumuna göre, faaliyetler ağırlıklı olarak barbarlara ve koruculara yöneliktir:
Kullanılan ölçekten emin olmasam da, barbarların ve korucuların cüce hırsızları, ozanları ve büyücüleri birleştirdiği hala çok açık. Bu, çoğu RDP oturumunda oyunun adının keşif ve yanal hareket olduğu anlamına gelir. GoSecure araştırmacıları, gerçekleştirilen eylem türleri hakkında size daha fazla fikir vermek için tüm tehdit aktörü kategorileri tarafından kullanılan araçları da sınıflandırdı:
Bu araç sınıflandırmasından, siber saldırıyla ilgili eylemlerin tek başına diğer türlerden çok daha ağır bastığını tespit edebilirsiniz. Yine RDP öncelikle bir saldırı kanalı olarak görülüyor.
RDP'den Uzaklaşmak – Hem İçeride Hem Dışarıda
Eğer sektör verileri sizi harekete geçirmeye yetmediyse, GoSecure detayının da öyle olduğunu umuyorum! Güvenli olmayan RDP’nin, hem dışarıdan erişilebilen bir ağa girme aracı hem de güvenliği ihlal edilmiş bir ortamda yanal hareket etme aracı olarak kuruluş için bir risk olduğu açıktır.
Kuruluşunuzun hem harici hem de dahili uzaktan erişime ihtiyacı olduğunu varsayarsak, bu riski tamamen azaltmak için ne yapmalısınız?
Cevap, herhangi birinin herhangi bir şeye uzaktan erişmesine izin verilmeden önce birkaç kontrolü içeren güvenli bir uzaktan erişim aracının kullanılmasında yatmaktadır:
- Çok faktörlü kimlik doğrulama – yıl 2023; herkesin (ve herkesin) kullanıcı hesabında MFA’nın etkinleştirilmiş olması gerekir. Uzaktan erişim üzerinde katmanlı MFA’nız varsa, ilk erişim aracılarını büyük ölçüde işsiz bırakırsınız.
- Parçalı Erişim Kontrolü – RDP, eğer işaretlenmezse herkesin başka bir makineye geçmesine izin verir (evet, evet, Yerel Olarak Oturum Açma haklarına ihtiyacınız vardır, vb., ama siz anladınız!). Belirli makinelere uzaktan oturum açabilecek uzaktan erişim sınırlarını güvenli hale getirin.
- En Az Ayrıcalık – RDP oturumları, oturum açılan kimlik bilgilerinin izinlerinden yararlanır. Güvenli uzaktan erişim genellikle belirli bir uzak oturumda hangi düzeyde ayrıcalıkların kullanıldığını belirleyebilir.
Gerçekte, bu özelliklerden herhangi birine sahip olan güvenli bir uzaktan erişim çözümünün uygulanması, riskin azaltılmasında bir gelişme olacaktır. Neden? RDP yerleşik olduğundan (ve tehdit aktörleri bunu biliyor!) ve RDP’yi tamamen kaldırmak ve daha güvenli başka bir çözüm kullanmak, tehdit aktörlerinin aşılması gereken başka bir engel olacaktır.
Kuruluşunuzda herhangi bir RDP örneğiniz varsa, bunları tamamen ortadan kaldırmanın ve tehdit aktörlerinin ağınızda uzaktan var olmanın kolay yollarını ortadan kaldıran, dışarıdan veya içeriden güvenli bir şekilde uzaktan erişim sağlamanın başka bir yolunu aramanın zamanı gelmiştir. Bu uyarıyı dikkate almamak “kapıdaki barbarlar” tabirine yeni bir anlam kazandırıyor.