Koronavirüs ile Birlikte RDP Brute Force Saldırılarında Artış Yaşanıyor! Peki Ne Yapılmalı?

Güvenlik raporları, koronavirüs salgınının yayıldığı son birkaç ay içinde Uzaktan Masaüstü Protokolü (RDP) bitiş noktalarını hedef alan brute force saldırılarındaki artışa işaret ediyor. RDP, Windows cihazlarına uzaktan masaüstü erişimi sağlayan protokol biçiminde tanımlanıyor.

Mart ile Nisan 2020, küresel alanda milyonlarca çalışanın işlerini evlerden yürüttükleri karantina döneminin başlangıcına tanıklık etti. ‘Karantina etkisi’ şeklinde adlandırılan saldırıların başgösterdiği süreçte, RDP bitiş noktaları gibi altyapılar artan saldırılara maruz kaldı. Bu noktadaki son veriler tehlikenin boyutunu gözler önüne serdi:

– İnternet faaliyet indeksleme hizmeti Shodan, Mart ayı sonunda internette erişilebilir olan RDP bitiş noktalarının sayısında %41 artış yaşandığını tespit etti.

– Aynı süreçte, uzaktan masaüstü protokollerine düzenlenen brute force saldırısı sayısı, küresel alanda alışılmışın dışında artışla yaklaşık dört katına çıktı.

– ABD’de, Ocak 2020’de yaklaşık 200 bin olarak kayıtlara geçen RDP brute force saldırıları, Şubat-Mart 2020 arasında 600 bin ile 800 bin arasında gerçekleşti. Nisan ayında ise bu miktar 1,2 ile 1,4 milyon aralığına sıçradı.

Saldırı nasıl düzenleniyor? 

Brute force saldırıları, bir şifreyi doğru tahmin edebilmek adına siber suçluların deneyebildikleri kadar şifre denedikleri saldırıyı temsil ediyor. Bu saldırı için kullanılan yazılımlar, saniyeler içinde binlerce şifre girişi deneyebiliyor. Türkçe’de ö, ü gibi özel karakterlerin çıkarıldığı a-z aralığındaki harfler ile 0-9 arası rakamlardan oluşmuş 5 haneli bir şifre için 52 milyon 521 bin 875 adet kombinasyon var. Bu kombinasyonlara *=!’^ gibi karakterlerin bulunma olasılığı da eklendiğinde ihtimaller seti çok daha yüksek sayılara ulaşıyor. Dolayısıyla şifrelerin açığa çıkarılması için bu alana özel yazılımlar tercih ediliyor.

Microsoft tescilli ağ bağlantısı protokolü RDP, şifre tabanlı doğrulama mekanizması aracılığıyla Windows kullanan cihazlara uzaktan idare imkânı tanıyor.

– Herhangi bir ağda, bir brute force RDP saldırısı IP ile TCP port aralıklarını (standardı 3389) tarayarak RDP sunucularını bulmaya çalışıyor,

– Siber suçlu bir RDP sunucusu tespit ettiği anda genelde yönetici olarak sisteme girmeye çalışır,

– Şifre denemek için bir limit olmadığı için siber saldırgan brute force saldırısı sonuç verene kadar şifre kırmaya çalışır.

Güvenlik uzmanları, son dönemde bu şekilde gerçekleştirilen birçok saldırı tespit etti. Mart 2020’de tespit edilen yeni bir TrickBot modülü ile (şirket ağlarına sızmak için kullanılan bir trojan) RDP bilgilerine brute force düzenlendiği anlaşıldı.

Eylül 2019’da Smominru adını taşıyan botnetin bir ay içinde 90 bin makineyi ele geçirdiği anlaşılmıştı. Botnet, bilgisayarları MS-SQL, RDP ve Telnet hizmetleri üzerinden düzenlediği brute force saldırıları ile ele geçirmişti. Bu saldırılarda, Trickbot’un kullandığı EternalBlue adı verilen güvenlik zafiyeti kullanıldı.

Haziran 2019’da, GoldBrute Botnet’in küresel alanda 1,5 milyon RDP sunucusuna brute force saldırısı düzenlediği tespit edildi. Ocak 2019’da da RDP brute force saldırıları düzenleme özelliği bulunan kötü şöhretli CryptoMix fidye yazılımının yeni özelliklerle donatıldığı anlaşılmıştı.

Korunmak için ne yapmak gerekiyor? 

İnternette bilgi güvenliğinin sağlanması için olası risklerden haberdar olunması büyük önem taşıyor. Siber korsan adı verilen ve çeşitli bilgileri ele geçirerek kötü amaçları için kullanmak isteyen kimselere karşı veri güvenliğinin sağlanması, kullandıkları yöntemlerin gerektiği ölçüde bilinmesiyle önlenebilir. Bu bağlamda Brute Force saldırılarının nedenini oluşturduğu tehditler giderek artıyor.
Peki bu tip siber saldırılara karşı ne gibi önlemler alınabilir?

Güvenlik uzmanları, RDP brute force saldırılarından korunmak için aşağıdaki maddelere dikkat edilmesi gerektiğini belirtiyor:

– Kullandığınız makinelerde standart “İdareci” hesabını kullanmak yerine tahmin edilmesi zor kullanıcı adı ve şifre ile kendinize özel hesap açın,

– Tüm uzaktan kontrollü hesaplara tüm kullanıcılar için belli imtiyazlar belirleyin ve bu imtiyazları minimumda tutun.

– Belli bir zaman içinde girilen ve başarısız olan şifrelerin ardından sistemi kilitlenecek şekilde ayarlamak.

– RDP kapıları kullanarak sadece noktadan noktaya RDP bağlantısına izin verin. Böylece tüm iç ağ kaynaklarına geleneksel uzaktan kullanıcı erişimi riskini önleyin.

Genel itibarıyla brute force saldırılarından korunmak için de aşağıdaki maddelere dikkat edilmesi öneriliyor:

• Web sitelerinde güvenlik eklenti/yazılımları yüklü ve aktif durumda olmalı,
• İki faktörlü kimlik doğrulama sistemi kullanılabilir,
• Daha uzun şifre tercihi,
• Sizinle ilgili olmayan (doğum yılınızı ya da tuttuğunuz takımı içermesi gibi) şifreler,
• Aynı şifrenin birden fazla platformda kullanılmaması,
• Sosyal medya ve çeşitli platformlarda (forumlar, vb) gerektiğinden fazla bilgi paylaşılmaması,
• Sosyal medyadaki gizlilik ayarlarında tanınmayan kimselerin kişisel bilgileri görmesini bloke etmek,
• Büyük-küçük harf, özel karakter, alfanümerik şifre kombinasyonları
• Belirli sayıda hatalı giriş yapıldığı taktirde sonraki denemeyi bloklayıcı özellikler kullanımı önerilir.

Brute Force saldırısı hakkında daha fazla detay için buraya tıklayabilirsiniz.