باتنت جهانی جدید علیه سرویسهای RDP در ایالات متحده فعال شد
یک باتنت در مقیاس گسترده، سرویسهای Remote Desktop Protocol (RDP) را در ایالات متحده از بیش از ۱۰۰٬۰۰۰ آدرس IP هدف قرار داده است.
این کارزار از ۸ اکتبر آغاز شده و بر اساس منبع آدرسهای IP، پژوهشگران بر این باورند که حملات توسط یک باتنت چندملیتی انجام میشود.
RDP یک پروتکل شبکه است که امکان اتصال و کنترل از راه دور سیستمهای Windows را فراهم میکند. این سرویس معمولاً توسط مدیران سیستم، کارکنان پشتیبانی (Helpdesk) و کاربران دورکار مورد استفاده قرار میگیرد.
مهاجمان اغلب با اسکن پورتهای باز RDP، تلاش برای حملات Brute-force، بهرهبرداری از آسیبپذیریها یا حملات زمانبندی (Timing Attacks)، به این سرویسها نفوذ میکنند.
در این مورد، پژوهشگران پلتفرم پایش تهدید GreyNoise کشف کردند که این باتنت بر دو نوع حمله مرتبط با RDP متکی است:
- حملات زمانبندی RD Web Access – بررسی نقاط پایانی (Endpoints) مربوط به RD Web Access و اندازهگیری تفاوت زمان پاسخ در جریانهای احراز هویت ناشناس، بهمنظور استنتاج نامهای کاربری معتبر.
- Enumeration ورود کاربر در RDP Web Client – تعامل با فرآیند ورود در RDP Web Client بهمنظور شناسایی حسابهای کاربری از طریق مشاهده تفاوت در رفتار و پاسخهای سرور.
GreyNoise این کارزار را پس از مشاهده یک افزایش غیرعادی در ترافیک از برزیل شناسایی کرد؛ سپس فعالیت مشابهی از مناطق جغرافیایی گستردهتری از جمله آرژانتین، ایران، چین، مکزیک، روسیه، آفریقای جنوبی و اکوادور مشاهده شد.
این شرکت اعلام کرده است که فهرست کامل کشورهایی که دستگاههای آلوده آنها بخشی از این باتنت هستند، از ۱۰۰ کشور فراتر میرود.
تقریباً تمامی آدرسهای IP دارای یک TCP Fingerprintمشترک هستند، و اگرچه در مقدار (Maximum Segment Size – MSS) تفاوتهایی مشاهده میشود، پژوهشگران بر این باورند که این تفاوتها ناشی از خوشههایی است که ساختار این باتنت را تشکیل میدهند.
برای دفاع در برابر این فعالیتها، به مدیران سیستم توصیه میشود آدرسهای IP مهاجم را مسدود کرده و لاگها را برای شناسایی فعالیتهای مشکوک مرتبط با RDP مورد بررسی قرار دهند.
بهطور کلی، اتصال RDP نباید مستقیماً در معرض اینترنت عمومی قرار گیرد و استفاده از VPN همراه با احراز هویت چندمرحلهای (MFA) میتواند لایهای اضافی از حفاظت ایجاد کند.
