Siber güvenlik firması Rapid7’den araştırmacılar, bilgisayar korsanlarının kurumsal ağlara önemli uzaktan erişim protokollerine nasıl saldırdığını inceledi. Onların araştırmasına göre şifrelerinizin sağlamlığını güçlendirmek sizin menfaatinizedir.
fırsatçı saldırılar
Çünkü saldırganlar öncelikle “admin”, “password” ve “123456” gibi zayıf şifreleri hedefler. Rapid7 için saldırganlar, ilerlemeden önce gerçekten fırsatçı bir şekilde küçük bir avuç yönetici adı ve parolası kullanır. Bu nedenle, bir IP adresinin “root:root” veya “admin:admin” gibi tek bir kullanıcı adı ve parola denediğini görmek, bunun otomatik bir işlem olduğunu ve belki de bir botnetten geldiğini düşündürür.
Saldırganlar tarafından Uzak Masaüstü Protokolü (RDP) için denenen en yaygın kimlik bilgileri “Yönetici” ve “yönetici”dir. Bunun nedeni muhtemelen RDP’nin genellikle Windows üzerinde çalışması ve varsayılan yönetici hesabına “yönetici” adı verilmesidir.
Secure Shell (SSH) protokolü için en yaygın iki kullanıcı adı “root” ve “admin”dir. Kolayca açıklanabilen bir seçim. Çoğu Linux dağıtımı, “root” adlı bir kullanıcıyla birlikte gelirken, “admin”, yönlendiricilerde ve IoT cihazlarında ortak varsayılan kullanıcı adıdır. Saldırganların en çok denediği şifreler “123456” ve “şifre”dir.
Siber suçlular tarafından hedeflenen uzaktan erişim
Hem RDP hem de SSH protokolleri, buluttaki sanal makineleri yönetmek için yaygın olarak kullanılmaktadır. Bulut bilişim ve uzaktan çalışmanın artan popülaritesi göz önüne alındığında, araştırmacılar, saldırganların bu sistemleri nasıl hedeflediğini bilmenin önemli olduğuna inanıyor. Örneğin RDP, fidye yazılımı çetelerinin ana hedeflerinden biridir.
Rapid7, araştırmasını yürütmek için 2022’nin ilk dokuz ayında saldırganlar tarafından RDP ve SSH bal küpü ağından ödün vermek için kullanılan kimlik bilgilerini inceledi. Bu süre zarfında, bal küplerine on milyonlarca giriş denemesi ve yarım milyon benzersiz şifrenin kullanıldığını gözlemledi. Bu bal küpleri, Heisenberg Projesi Şirketin.
Rastgele şifre yok
Şirket daha sonra kaydedilen verileri, penetrasyon test cihazları ve saldırganlar tarafından kullanılan sekiz milyar kullanıcı adı ve şifreyi içeren “rockyou” şifre listesiyle karşılaştırdı.
Rapid7 için neredeyse mükemmel eşleşen iki liste. Ve şirket, uzaktan erişime saldıran bilgisayar korsanlarının “gerçekten rastgele şifreler üretmediği, bunun yerine tamamen tahmin edilebilir şifre listelerinden çalıştığı” sonucuna varıyor.
Bu saldırganlara karşı koymak için Rapid7’nin en önemli ipucu, varsayılan kimlik bilgilerini değiştirmek ve mümkün olduğunda yerel ve konuk yönetici hesaplarını devre dışı bırakmaktır. Bu, hedefli saldırıları engellemez, ancak fırsatçı saldırılara karşı koymaya yardımcı olur. Ayrıca bir şifre yöneticisi kullanın.
şirketin tavsiyeleri
RDP ve SSH uzaktan erişimlerini korumak için kuruluşlar ayrıca bir sanal özel ağ (VPN) kullanmalıdır. Ayrıca, uzak bağlantıları yalnızca VPN kimlik doğrulamalı ana bilgisayarlar aracılığıyla çalışacak şekilde kısıtlamalıdırlar. Son olarak, çoğu kaba kuvvet saldırısını önlemek için bağlantı noktalarını değiştirmek faydalı olabilir.
“RDP erişimi için en iyi koruma, güvenlik duvarları ve ağ güvenlik grupları aracılığıyla erişimi kısıtlamaktır, böylece açıkta kalan örneklere yalnızca güvenilir IP adreslerinden erişilebilir”, diye belirtiyor L. ‘şirket.
Rapid7 için, SSH erişiminin güvence altına alınması, sertifika kimlik doğrulaması lehine parola kimlik doğrulamasının devre dışı bırakılmasını içerir. Ayrıca, kullanıcı sayısını sınırlamanız, tüm kök hesaplar için SSH’yi devre dışı bırakmanız ve maksimum oturum açma denemesi sayısını değiştirmeniz şiddetle tavsiye edilir.
Kaynak : “ZDNet.com”