افزایش اسکن‌های هماهنگ علیه سرورهای احراز هویت Microsoft RDP

سجاد تیموری 54 ثانیه پیشآخرین بروزرسانی: شهریور ۵, ۱۴۰۴

۰ 0 زمان تقریبی مطالعه 2 دقیقه

افزایش اسکن‌های هماهنگ علیه سرورهای احراز هویت Microsoft RDP

شرکت GreyNoise، فعال در حوزه Internet intelligence، گزارش داده است که افزایش چشمگیری در فعالیت‌های scanning ثبت کرده است. طبق این گزارش، حدود ۱,۹۷۱ آدرس IP به صورت هم‌زمان اقدام به probing بر روی پورتال‌های Microsoft Remote Desktop Web Access و RDP Web Client authentication کرده‌اند که نشان‌دهنده یک کمپین reconnaissance هماهنگ است.

پژوهشگران اعلام کرده‌اند این تغییر در سطح فعالیت بسیار قابل توجه است، چرا که به طور معمول GreyNoise روزانه تنها ۳ تا ۵ آدرس IP از این نوع scanning را شناسایی می‌کند.

به گفته GreyNoise، این موج جدید از scans در حال بررسی timing flaws است؛ ضعف‌هایی که می‌توانند برای تأیید صحت نام کاربری مورد سوءاستفاده قرار گیرند و زمینه‌ساز حملات مبتنی بر credentials مانند brute force یا password-spray attacks شوند.

Timing flaws زمانی رخ می‌دهند که زمان پاسخ‌دهی سیستم یا یک request به طور ناخواسته اطلاعات حساس را افشا کند. در این مورد، تفاوت جزئی در زمان پاسخ RDP به تلاش‌های ورود با نام کاربری معتبر در مقایسه با نام کاربری نامعتبر، می‌تواند به مهاجمان امکان دهد تا اعتبارسنجی نام کاربری را انجام دهند.

GreyNoise همچنین گزارش داده است که ۱,۸۵۱ آدرس IP دارای یک client signature مشترک بوده‌اند که حدود ۹۲ درصد از آن‌ها پیش‌تر به‌عنوان malicious علامت‌گذاری شده‌اند. این آدرس‌های IP عمدتاً از برزیل منشاء گرفته و آدرس‌های IP در ایالات متحده را هدف قرار داده‌اند که می‌تواند نشان‌دهنده فعالیت یک botnet یا toolset واحد در این scans باشد.

پژوهشگران اعلام کرده‌اند که زمان‌بندی این حملات با فصل back-to-school در ایالات متحده همزمان است؛ دوره‌ای که مدارس و دانشگاه‌ها ممکن است سیستم‌های RDP خود را مجدداً آنلاین کنند.

به گفته Noah Stone از GreyNoise:
«این همزمانی احتمالاً تصادفی نیست. تاریخ ۲۱ آگوست دقیقاً در بازه back-to-school ایالات متحده قرار دارد؛ زمانی که دانشگاه‌ها و مدارس K-12 labs و دسترسی‌های راه دور مبتنی بر RDP را فعال کرده و هزاران حساب جدید را ایجاد می‌کنند.»

وی توضیح می‌دهد:
«این محیط‌ها اغلب از الگوهای نام کاربری قابل پیش‌بینی مانند student IDs یا firstname.lastname استفاده می‌کنند که فرآیند enumeration را مؤثرتر می‌سازد. ترکیب این مسئله با محدودیت‌های بودجه‌ای و اولویت دسترسی‌پذیری در زمان ثبت‌نام، می‌تواند سطح exposure را به طور چشمگیری افزایش دهد.»

با این حال، GreyNoise هشدار داده است که افزایش scans همچنین می‌تواند نشانه کشف یک vulnerability جدید باشد، چرا که بر اساس سوابق این شرکت، اوج‌گیری در malicious traffic معمولاً پیش از افشای عمومی vulnerability‌های تازه مشاهده می‌شود.

به مدیران سیستم‌های Windows که پورتال‌ها و دستگاه‌های RDP را مدیریت می‌کنند توصیه می‌شود اطمینان حاصل کنند که حساب‌ها با multi-factor authentication ایمن‌سازی شده‌اند و در صورت امکان این سرویس‌ها پشت VPN قرار گیرند.