Araştırma: Türkiye’de 2022’nin 2. Çeyreğinde RDP Saldırıları %49 Azaldı

Güvenlik raporları, 2022’nin 2. çeyreğinde Uzaktan Masaüstü Protokolü (RDP) bitiş noktalarını hedef alan brute force saldırılarında, bir önceki çeyreğe göre yüzde 49’luk azalmaya işaret ediyor. RDP, Windows cihazlarına uzaktan masaüstü erişimi sağlayan protokol biçiminde tanımlanıyor.

2022’nin ilk çeyreğinde Türkiye’deki tespitler ilk çeyrekte 6 milyon 957 bin 383 iken, ikinci çeyrekte 3 milyon 525 bin 333 olarak gerçekleşti. Söz konusu düşüşe rağmen RDP saldırıları, hibrit çalışmayı benimsemeye devam eden kuruluşlar için hala bir endişe kaynağı olmalı.

Bu aşağı yönlü hareket birkaç nedenden kaynaklanıyor olabilir. İlk akla gelenler işgücünün uzaktan çalışmadan hibrit çalışmaya geçmesi, kuruluşların uzak çalışanları için güvenli RDP yapılandırmalarını benimsemesi ve bu nedenle daha zor bir hedef haline gelmesi olabilir.

RDP, çalışanlar tarafından kurumsal kaynaklara, sunuculara ve ağlara uzaktan bağlanmak için kullanılan popüler bir protokol. RDP’ye yönelik saldırılar, siber suçlular tarafından güvenlik açıklarını keşfetmek ve kuruluşun ağındaki bilgisayarları hedeflemek için kullanılan en yaygın taktikler arasında yer alıyor. Siber suçlular, güvenli olmayan veya yanlış yapılandırılmış RDP ayarlarından yararlanarak kurbanın izni olmadan sistemde oturum açabiliyor, fidye yazılımı yükleyebiliyor veya hassas verileri çalabiliyor.

Saldırı nasıl düzenleniyor? 

Brute force saldırıları, bir şifreyi doğru tahmin edebilmek adına siber suçluların deneyebildikleri kadar şifre denedikleri saldırıyı temsil ediyor. Bu saldırı için kullanılan yazılımlar, saniyeler içinde binlerce şifre girişi deneyebiliyor. Türkçe’de ö, ü gibi özel karakterlerin çıkarıldığı a-z aralığındaki harfler ile 0-9 arası rakamlardan oluşmuş 5 haneli bir şifre için 52 milyon 521 bin 875 adet kombinasyon var. Bu kombinasyonlara *=!’^ gibi karakterlerin bulunma olasılığı da eklendiğinde ihtimaller seti çok daha yüksek sayılara ulaşıyor. Dolayısıyla şifrelerin açığa çıkarılması için bu alana özel yazılımlar tercih ediliyor.

Microsoft tescilli ağ bağlantısı protokolü RDP, şifre tabanlı doğrulama mekanizması aracılığıyla Windows kullanan cihazlara uzaktan idare imkânı tanıyor.

– Herhangi bir ağda, bir brute force RDP saldırısı IP ile TCP port aralıklarını (standardı 3389) tarayarak RDP sunucularını bulmaya çalışıyor,

– Siber suçlu bir RDP sunucusu tespit ettiği anda genelde yönetici olarak sisteme girmeye çalışır,

– Şifre denemek için bir limit olmadığı için siber saldırgan brute force saldırısı sonuç verene kadar şifre kırmaya çalışır.

Güvenlik uzmanları, son dönemde bu şekilde gerçekleştirilen birçok saldırı tespit etti.

Güvenlik uzmanları, RDP brute force saldırılarından korunmak için aşağıdaki maddelere dikkat edilmesi gerektiğini belirtiyor:

– Kullandığınız makinelerde standart “İdareci” hesabını kullanmak yerine tahmin edilmesi zor kullanıcı adı ve şifre ile kendinize özel hesap açın,

– Tüm uzaktan kontrollü hesaplara tüm kullanıcılar için belli imtiyazlar belirleyin ve bu imtiyazları minimumda tutun.

– Belli bir zaman içinde girilen ve başarısız olan şifrelerin ardından sistemi kilitlenecek şekilde ayarlamak.

– RDP kapıları kullanarak sadece noktadan noktaya RDP bağlantısına izin verin. Böylece tüm iç ağ kaynaklarına geleneksel uzaktan kullanıcı erişimi riskini önleyin.