پروتکل ریموت دسکتاپ - RDP جایی برای حمله ی باج افزار ها

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

پروتکل ریموت دسکتاپ - RDP جایی برای حمله ی باج افزار ها
q1060
پروتکل RDP که مخفف ( Remote Desktop Protocol ) می باشد یک پروتکل انحصاری مایکروسافت است که به کمک آن می توان از طریق شبکه به یک سیستم دیگر به صورت گرافیکی وصل شد و آن را کنترل کرده و از امکانات آن بهره برد.
در حالت پیش فرض، سرویسRDP از پورت tcp ۳۳۸۹ استفاده می کند . توجه داشته باشید که اگر firewall پورت ۳۳۸۹ را ببندد شما دیگر نمی توانید از Remote Desktop استفاده نمایید . البته می توان شماره ی پورت RDP را با استفاده از رجیستری به سادگی تغییر داد.
اولین نسخه از(RDP) که منتشر شد RDP ۴.۱ بود که برای ویندوز NT ۴.۰ ارایه شد. و آخرین نسخه هم RDP ۷.۰ است که برای ویندوز سرور ۲۰۰۸ و ویندوز ۷ معرفی شده است.امکانات ارتباطی، عملکردی و امنیتی در هر نسخه نسبت به نسخه قبلی تغییرات قابل ملاحظه ای داشته است.
قابلیت Remote Desktop این اجازه را میدهد که کاربران به تمامی برنامه ها، منابع و متعلقات سیستم عامل کامپیوتر خود، از راه دور دسترسی پیدا کنند. اما باید به این نکته توجه داشت که خصیصه Remote Desktop در نسخه Home Edition ‌           ( مصارف خانگی ) غیرقابل دسترس است و اگر از این نسخه استفاده میکنید باید آن را به نسخه Pro ارتقا دهید.

q1061
با این وجود میتوان از نسخه Home Edition به عنوان guest استفاده کرد و به کامپیوتری که بر روی آن قابلیت remote desktop فعال شده است، متصل شد.
برنامه ی Remote Desktop از سرویس RDP استفاده کرده و کامپیوتر شخصی را تبدیل به یک ترمینال گرافیکی می کند .
فاصله در ریموت دسكتاپ هیچ اهمیتی ندارد و تنها چیزی كه اهمیت دارد شبكه بودن ۲ كامپیوتر و انجام یك سری كار ها بروی كامپیوتر ها می باشد .
از ویژگی های پروتکل RDP می توان به موارد زیر اشاره کرد:
• پشتیبانی از عمق رنگ ۳۲ بیتی ( ۸ ، ۱۶ و ۲۴ و سایر mode ها نیز پشتیبانی می شود. )
• رمز نگاری ۱۲۸ بیتی برمبنای الگوریتم رمزنگاری RC۴. ( در این امنیت پیش فرض ، كلاینتهای قدیمی تر ممكن است از الگوریتمهایی با قدرت كمتر استفاده كنند.) به دلیل تهدید man-in-the-middle در بسیاری از موارد ، ترافیك میتواند در طول مسیر رمزگشایی شود. ( تهدید man-in-the-middle نوعی حمله است كه در آن حمله كننده توانایی read, insert و modify بین دو ارتباط را دارد. حمله كننده باید قادر به دیدن و جلوگیری كردن از پیام هایی كه بین ۲ قربانی ردو بدل میشود ، باشد ) .
• پشتیبانی از (Transport Layer Security (TLS به همراه SSL یا (Secure Sockets Layer) که پروتكلهای رمزنگاری شده ای هستند كه ارتباطات امن را از طریق اینترنت برای مواردی مثل Web Browsing ، E-Mail و... فراهم میكنند
• ویژگی صدا به كاربران این امكان را میدهد كه یك برنامه صوتی را دركامپیوتر Remote اجرا كنند و صدای آن را در كامپیوتر Local خود داشته باشند.
• File System Redirection به كاربران این امكان را میدهد كه از فایلهای Local خود بر روی كامپیوتر Remote با استفاده از یك Terminal Session استفاده كنند.
• Printer Redirection به كاربران اجازه میدهد تا از پرینتر Local شان از طریق Terminal Session به صورت Local Printer یا Network Shared Printer استفاده كنند.
• Port Redirection به نرم افزار ها اجازه میدهد تا از طریق Terminal Session به پورتهای Serial و parallel سیستم Local ، دسترسی مستقیم داشته باشند.
• Clipboard یا حافظه موقت که می تواند بین كامپیوتر Local و Remote به صورت Share استفاده شود.
مدیران شبکه‌هایی که از ریموت دسکتاپ ویندوز برای اتصال به ایستگاه‌های کاری از خارج مجموعه استفاده می‌‌کنند، در معرض حملات باج‌افزارها هستند. به تازگی نمونه‌هایی از باج‌افزارها کشف شده‌‌اند که از طریق ضعف امنیتی ریموت دسکتاپ ویندوز اقدام به ورود به سیستم و کدگذاری فایل‌ها می‌کنند و پس از آن مبالغ هنگفتی را برای بازگرداندن اطلاعات طلب می‌کند.
چگونگی عملکرد این باج افزارها بدین صورت است که ابتدا باج‌گیران از طریق نرم‌افزارهای خودکار اقدام به اسکن درگاه‌‌های باز روی آدرس‌های IP اینترنتی کرده و در صورتی که پورت ریموت دسکتاپ روی آنها باز باشد، اقدام به حدس زدن رمزهای عبور مختلف نموده و شانس خود را برای ورود به سیستم محک می‌زنند. در صورتی که فایروالی با قابلیت تشخیص اینگونه حملات روی لبه شبکه فعال نباشد و همچنین مقرراتی برای جلوگیری از ورود پسوردهای اشتباه به دفعات متعدد موجود نباشد، ممکن است بعد از گذشت فاصله زمانی کمی، نرم‌افزارهای باجگیر بتوانند رمز عبور صحیح را حدس زده و دسترسی ورود به سیستم را دریافت کنند.
پس از گرفتن دسترسی به سیستم‌عامل، حتی در صورتی که نرم‌افزارهای مخصوص ضد باج‌افزار نیز روی سیستم نصب باشد، باز هم با توجه به داشتن دسترسی مدیریتی، هکرها قادر به حذف هرگونه محصول امنیتی خواهند بود، و پس از آن به راحتی باج‌افزار خود را اجرا و اقدام به کدگذاری تمامی فایل ها خواهند نمود. متاسفانه به علت داشتن دسترسی مدیریتی هیچ نرم‌افزار امنیتی قادر به مقاومت در برابر آنها نخواهد بود؛ زیرا تمامی فعالیت‌ها بر مبنای دسترسی مدیر سیستم و به‌صورت قانونی انجام می‌پذیرد.
q1062
در نظر داشته باشید که نرم‌افزارهای ترمینال سرویس مانند سیتریکس، وی‌ام‌ویر هورایزن و غیره هم در صورت کانفیگ اشتباه، می‌توانند این دسترسی را برای هکرها فراهم کنند. با توجه به موارد ذکر شده و برای جلوگیری از چنین حملاتی نیاز است تا توصیه‌های زیر جدی گرفته شده و نسبت به پیاده‌سازی آنها اقدام شود:
در صورتی که نیاز به استفاده از ریموت دسکتاپ وجود ندارد، از بسته بودن پورت آن روی فایروال و خاموش بودن سرویس مربوطه اطمینان حاصل کنید.
رمز عبور انتخابی برای این سیستم‌ها حتما پیچیده و غیرقابل حدس باشد و از انتخاب رمزهای عبور ساده و شایع نظیر P@ssw۰rd یا مشتقات آن بر روی سرور خودداری کنید.
بر روی لبه شبکه از فایروال‌های مطمئن با قابلیت تشخیص و جلوگیری از نفوذ IPS/IDS استفاده کنید.
در صورت وجود قابلیت محدود‌کردن IP روی فایروال سخت‌افزاری، تنها ریموت دسکتاپ را برای IPهای مشخص و مورد اطمینان خود از بیرون باز کنید. در صورت امکان، پورت پیش فرض را از ۳۳۸۹ به پورت دیگری تغییر دهید.
از به‌روزبودن سیستم عاملی که ریموت روی آن فعال است، اطمینان حاصل کنید.
تعویض دوره‌ای رمزهای عبور را جدی بگیرید.
ایجاد پالیسی قفل شدن سیستم پس از تعداد مشخصی ورود غیرموفق را پیاده کنید.
تا حد امکان، بررسی کلی امنیت شبکه توسط شخصی مورد اطمینان و غیر از مدیر شبکه انجام شود.