مدیران شبکههایی که از ریموت دسکتاپ ویندوز برای اتصال به ایستگاههای کاری از خارج مجموعه استفاده میکنند، در معرض حملات باجافزارها هستند. به تازگی نمونههایی از باجافزارها کشف شدهاند که از طریق ضعف امنیتی ریموت دسکتاپ ویندوز اقدام به ورود به سیستم و کدگذاری فایلها میکنند و پس از آن مبالغ هنگفتی را برای بازگرداندن اطلاعات طلب میکند. باجافزارها از طریق پروتکل ریموت دسکتاپ RDP حمله میکنند.
چگونگی عملکرد این باج افزارها بدین صورت است که ابتدا باجگیران از طریق نرمافزارهای خودکار اقدام به اسکن درگاههای باز روی آدرسهای IP اینترنتی کرده و در صورتی که پورت ریموت دسکتاپ روی آنها باز باشد، اقدام به حدس زدن رمزهای عبور مختلف نموده و شانس خود را برای ورود به سیستم محک میزنند. در صورتی که فایروالی با قابلیت تشخیص اینگونه حملات روی لبه شبکه فعال نباشد و همچنین مقرراتی برای جلوگیری از ورود پسوردهای اشتباه به دفعات متعدد موجود نباشد، ممکن است بعد از گذشت فاصله زمانی کمی، نرمافزارهای باجگیر بتوانند رمز عبور صحیح را حدس زده و دسترسی ورود به سیستم را دریافت کنند.
پس از گرفتن دسترسی به سیستمعامل، حتی در صورتی که نرمافزارهای مخصوص ضد باجافزار نیز روی سیستم نصب باشد، باز هم با توجه به داشتن دسترسی مدیریتی، هکرها قادر به حذف هرگونه محصول امنیتی خواهند بود، و پس از آن به راحتی باجافزار خود را اجرا و اقدام به کدگذاری تمامی فایل ها خواهند نمود. متاسفانه به علت داشتن دسترسی مدیریتی هیچ نرمافزار امنیتی قادر به مقاومت در برابر آنها نخواهد بود؛ زیرا تمامی فعالیتها بر مبنای دسترسی مدیر سیستم و بهصورت قانونی انجام میپذیرد.
در نظر داشته باشید که نرمافزارهای ترمینال سرویس مانند سیتریکس، ویامویر هورایزن و غیره هم در صورت کانفیگ اشتباه، میتوانند این دسترسی را برای هکرها فراهم کنند. با توجه به موارد ذکر شده و برای جلوگیری از چنین حملاتی نیاز است تا توصیههای زیر جدی گرفته شده و نسبت به پیادهسازی آنها اقدام شود:
- در صورتی که نیاز به استفاده از ریموت دسکتاپ وجود ندارد، از بسته بودن پورت آن روی فایروال و خاموش بودن سرویس مربوطه اطمینان حاصل کنید.
- رمز عبور انتخابی برای این سیستمها حتما پیچیده و غیرقابل حدس باشد و از انتخاب رمزهای عبور ساده و شایع نظیر P@ssw0rd یا مشتقات آن بر روی سرور خودداری کنید.
- بر روی لبه شبکه از فایروالهای مطمئن با قابلیت تشخیص و جلوگیری از نفوذ IPS/IDSاستفاده کنید.
- در صورت وجود قابلیت محدودکردن IP روی فایروال سختافزاری، تنها ریموت دسکتاپ را برای IPهای مشخص و مورد اطمینان خود از بیرون باز کنید. در صورت امکان، پورت پیش فرض را از 3389 به پورت دیگری تغییر دهید.
- از بهروزبودن سیستم عاملی که ریموت روی آن فعال است، اطمینان حاصل کنید.
- تعویض دورهای رمزهای عبور را جدی بگیرید.
- ایجاد پالیسی قفل شدن سیستم پس از تعداد مشخصی ورود غیرموفق را پیاده کنید.
- تا حد امکان، بررسی کلی امنیت شبکه توسط شخصی مورد اطمینان و غیر از مدیر شبکه انجام شود.
ریموت دسکتاپ RDP
هر آنچه از شبکه و آموزش مطالب مختلف میخواهید از گیگ بوی