Brian Krebs de “Krebs en Seguridad” acaba de publicar un
artículo sobre los hacks de tipo RDP (Protocolo de Escritorio Remoto, por sus
siglas en inglés) mismo que explota credenciales de acceso débiles o por
defecto, para luego pasar a describir cómo eso provee los básicos para un
negocio de cibercrimen. Su artículo explica que Makost[dot]net renta acceso a
más de 6000 RDP que están configurados de manera muy rudimentaria y, por lo
tanto, compromete a los servidores con capacidad RDP alrededor del mundo. Como
Kreb dice: “… los atacantes simplemente necesitan escanear la internet por
hosts que estén escuchando el puerto 3389 (RDP de Microsoft), identificar
nombres de usuarios válidos y luego tratar de usar el mismo usuario como
contraseña”. Es un ataque clásico de fuerza bruta y está orientado directamente
a un objetivo extremadamente débil.
Para que quede
claro, RDP (por sus siglas en inglés) es un protocolo propietario de Microsoft
que provee una interfaz gráfica para conectar una computadora con un sistema
operativo Windows (servidor) a cualquier otra (cliente) mediante una red,
permitiendo que el servidor sea utilizado de manera remota desde el cliente.
Muchas personas al
momento de leer esto por primera vez pensarían que esta capacidad es más una
“vulnerabilidad” de Windows, pero eso es como decir que una máquina de
transacciones automáticas (ATM, por sus siglas en inglés) tiene una
“vulnerabilidad” que te deja retirar dinero de tu cuenta bancaria. Es una
característica del sistema operativo y Windows no está sola cuando expone
funcionalidades como esta.
Una amenaza libre de malware y exploit
La parte interesante de este fenómeno RDP es que es una amenaza netamente basada en acceso: no hay malware, no hay exploit involucrados. En su núcleo, esta operación ciber criminal está basada en una lista de cuentas comprometidas de máquinas específicas de redes específicas. No hay sistema de detección de malware que podría detectar estas amenazas, puesto que usan credenciales de inicio de sesión válidas.
Éste es el ejemplo
perfecto de lo que me refiero cuando digo que los chicos malos están trabajando
productivamente y los chicos buenos no lo hacen todavía. Makost[dot]net es sólo
una de muchas corredurías del mercado negro que vende accesos a estos exploits
a cualquiera que tenga dinero. Cualquier atacante puede empezar desde cero,
pasar una tarjeta de crédito e inmediatamente pinchar un agujero a través de su
perímetro.
Como un punto
aparte, un buen lugar para que los chicos buenos comiencen a trabajar en equipo
sería en la creación de un sistema para notificar a los dueños de éstos
sistemas que los mismos han sido comprometidos, porque mientras sigan sin
saberlo, los atacantes tienen una ventana abierta a sus redes. Los atacantes,
de esta manera, podrán usar estas máquinas como trampolines para atacar a otras
organizaciones.
Lo que los sistemas de seguridad nunca consiguen
identificar, los basados en anomalías lo hacen
Si su organización usa regularmente RDP para cualquier uso legítimo, será casi imposible identificar cuales accesos son válidos y cuáles son ataques porque todos usan las mismas credenciales válidas, a menos que creen y actualicen regularmente los lineamientos base de comportamiento normal para aquellos dispositivos con capacidad RDP. No hay nada que una herramienta de seguridad pueda detectar en este escenario excepto desviaciones de los lineamientos base.
Esta amenaza es
particularmente peligrosa en un mundo en el que las máquinas virtuales (MVs)
son incrementadas comúnmente, con frecuencia clonadas una de otra en masa. Casi
todas las MVs permiten acceso remoto al escritorio y los usuarios que los están
creando asumen, incorrectamente, que estarán corriendo en ambientes “seguros”.
Krebs sugiere hacer
un escaneo de puerto externo rápido de los rangos de la dirección de internet
de su organización para averiguar si cualquier sistema equipado con RDP está
habilitado, luego señala esto a la Universidad de California en un documento de
Berkeley para tips adicionales de bloqueo de instalaciones RDP. Este es un buen
comienzo, pero yo le agregaría que necesita la habilidad, hoy en día, para
realizar estas tres cosas:
#1 – Establecer
visibilidad de sus dispositivos.
#2 – Comenzar a correr líneas bases de comportamiento normal dentro y entre estos dispositivos.
#3 – Desarrollar una forma para comenzar a recibir alertas regulares de comportamiento anómalo relativo a esas líneas base.
EnCase®
Analytics puede ayudar con las tres. Por en cuanto, sitios como Makost sólo
ilustran cuán importante es para los chicos buenos el comenzar a trabajar
juntos de manera tan productiva como los chicos malos lo han estado haciendo.
¿Tiene sugerencias?
¿Historias de guerra? Agradezco sus comentarios en la sección de comentarios
más abajo.
Jason Fredrickson, Senior Director - Enterprise Application Development
Traducido del original en ingles, RDP Hacks: Thwarting the Bad-Guy Network
Traducido del original en ingles, RDP Hacks: Thwarting the Bad-Guy Network
RELACIONADOS
Guerra de Fronteras: Respuestas de Incidentes vs. Investigación Forense
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
La Infraestructura de la Ciberseguridad: Identificación, Colaboración y Defensa Proactiva
Unirse a Nuestro Grupo de LinkedIn en Español Sobre EnCase
Dale Un "Like" a Nuestro Pagina de Facebook en Español Sobre EnCase
No hay comentarios :
Publicar un comentario