RDP (Remote Desktop Protocol – Uzak Masaüstü Bağlantı Protokolü) kullanan sunucular 6 saniyede bir saldırıya uğruyor.
Sophos araştırmacıları, “RDP Exposed: The Threat That’s Already at your Door” başlığıyla yayınladığı araştırmada siber saldırganların RDP (Remote Desktop Protocol – Uzak Masaüstü Bağlantı Protokolü) aracılığıyla gerçekleştirdikleri saldırılarda ne kadar ısrarlı ve inatçı olduklarını ortaya koydu.
Sophos olarak, sistem yöneticilerinin başını ağrıtan RDP odaklı saldırıları 2011 yılından beri takip ediyoruz. Fakat geçtiğimiz yıl, Matrix ve SamSam hedefli saldırılarının arkasında yer alan siber grupların ağlara sızmak için kullandıkları diğer tüm yöntemleri bir kenara bırakıp RDP’ye odaklanması, dikkatleri yeniden bu alana çevirdi.
RDP Exposed: The Threat That’s Already at your Door başlıklı raporun hazırlanmasında liderliği üstlenen Sophos Güvenlik Uzmanı Matt Boddy, durumun ciddiyetini şu sözlerle ortaya koyuyor:
“Geçtiğimiz günlerde BlueKeep (CVE-2019-0708) adı verilen ve hedef sistemlerde uzaktan kod çalıştırılmasına olanak sağlayan RDP açığı gündemde önemli bir yer tuttu. Bu öylesine ciddi bir açık ki, saatler içinde bütün dünyaya yayılacak bir potansiyel fidye yazılımı saldırısının başlangıcı olabilir. RDP odaklı tehditlere karşı sistemleri koruma altına almak ise BlueKeep için yama yüklemenin çok daha ötesinde bir çaba gerektiriyor, Araştırmamızda siber saldırganların potansiyel RDP açığı olan sistemleri 7 gün 24 saat saldırı yağmuru altında tuttuğunu gözlemledik. Bilgi teknolojileri yöneticileri bu konuyu çok daha fazla ciddiye almalılar.”
Dakikalar İçinde Keşfediyor, 6 Saniyede Bir Yokluyor
Sophos’un RDP araştırması, RDP özelliği açık cihazların neredeyse internet üzerinde belirir belirmez keşfedildiğini ve hedef alındığını ortaya koydu. Sophos, bunu göstermek için geniş bir coğrafi alana düşük etkileşimli kukla sunucular yerleştirdi. Bulgular şöyle:
- 10 sunucunun tamamı daha ilk gününü doldurmadan RDP saldırısına uğradı. İlk saldırılan Paris, son saldırılan Singapur sunucusu oldu.
- Sunucular 30 gün içinde 4 milyon 298 bin 513 başarısız giriş denemesine maruz kaldı. Bu her 6 saniyede bir denemeye karşılık geliyor. 2012 yılındaki araştırmada bu rakam yarım saatte bir olarak ölçülmüştü.
- Endüstrinin genelinde siber suçluların açık RDP kaynaklarını taramak için Shodan gibi sitelerin kullanıldığı düşünülüyor. Sophos’un yaptığı araştırma ise saldırganların çoktan kendi araç ve tekniklerini ortaya koyduğunu, üçüncü parti sitelere ihtiyaç duymadıklarını gösteriyor.
Saldırı Üç Farklı Yöntemle Gerçekleşiyor
Sophos’un araştırmasında saldırılar gerçekleşme şekline göre Koçbaşı, Sürü ve Kirpi olmak üzere üç gruba ayrılıyor:
- Koçbaşı, yönetici şifresini ele geçirmek üzere düz ama inatçı bir strateji kurguluyor. Araştırma sırasında bir saldırgan İrlanda’daki kukla sunucuya 10 gün içinde sadece üç farklı isim kullanarak 109 bin 934 giriş denemesi gerçekleştirdi.
- Sürü, sıralı isimler ve en çok tercih edilen şifreler üzerinden ilerlemeyi tercih ediyor. Paris’teki sunucuya ABrown adıyla 14 dakika içinde 9 kez giriş denemesi yapan bir saldırgan, sonuç alamayınca BBrown, CBrown, DBrown gibi isimlere geçti. Seri A.Mohamed, AAli, ASmith ve diğerleriyle devam etti.
- Kirpi, bir anda gerçekleştirdiği çok sayıda saldırının ardından uzun süre sessiz kalıyor. Brezilya’daki sunucuyu hedef alan bir saldırgan aynı IP adresi üzerinden 4 saatlik zaman aralıklarıyla gerçekleştirdiği saldırılarda 3 bin 369 ile 5bin 199 şifre tahmininde bulundu.
RDP Kullananları Dakikalar İçinde Keşfediyorlar
Matt Boddy, RDP tehdidinin kurumlar açısından önemini şöyle aktarıyor:
“Şu an dünyada RDP ile erişim sağlayan 3 milyondan fazla cihaz var. Öyle ki BitPaymer, Ryuk, Matrix ve SamSam gibi hedefli fidye saldırılarının kullandıkları neredeyse tüm diğer yöntemleri geride bırakıp RDP şifrelerini tahmin etmeye yöneldiğini gördük. Kurduğumuz tüm kukla sunucular internete bağlandıktan kısa bir süre sonra sadece RDP kullandıkları için keşfedilerek hedef alındı. Bu saldırılardan korunmanın yolu RDP kullanımını olabildiğince azaltmaktan ve organizasyon genelinde güçlü şifre belirleme politikaları oluşturmaktan ve doğru güvenlik protokolleri uygulamaktan geçiyor.”