Online Teknoloji ve Haber Bloğu
Sinsi Tehdit Yayılmak İçin Kapıları Zorluyor

Sinsi Tehdit Yayılmak İçin Kapıları Zorluyor

Sophos olarak, sistem başkanlarının başını ağrıtan RDP odaklı saldırıları 2011 yılından beri takip ediyoruz. Gelgelelim geçtiğimiz yıl, Matrix ve SamSam hedefli akınlarının gerisinde mahal alan siber kümelerin ağlara sızmak için kullandıkları diğer tüm yöntemleri bir kenara bırakıp RDP’ye odaklanması, dikkatleri tekrar bu yere çevirdi.

RDP Exposed: The Threat That’s Already at your Door başlıklı raporun hazırlanmasında liderliği üstlenen Sophos Güvenlik Uzmanı Matt Boddy, durumun ciddiyetini şu laflarla ortaya koyuyor:  

“Geçtiğimiz günlerde BlueKeep (CVE-2019-0708) ismi verilen ve amaç sistemlerde uzaktan kod çalıştırılmasına imkan sağlayan RDP açığı gündemde değerli bir yan tuttu. Bu öylesine önemli bir açık ki, saatler içinde bütün yerküreye yayılacak bir potansiyel fidye yazılımı saldırısının başlangıcı olabilir. RDP odaklı tehditlere karşı sistemleri müdafaa altına almak ise BlueKeep için yama yüklemenin çok daha ötesinde bir efor gerektiriyor, Araştırmamızda siber saldırganların potansiyel RDP açığı olan sistemleri 7 gün 24 saat saldırı yağmuru altında tuttuğunu gözlemledik. Haber teknolojileri başkanları bu mevzuyu çok daha çokça ciddiye almalılar.”

Dakikalar İçinde Keşfediyor, 6 Saniyede Bir Yokluyor

Sophos’un RDP araştırması, RDP özelliği açık cihazların neredeyse internet üzerinde belirir belirmez keşfedildiğini ve amaç alındığını ortaya koydu. Sophos, bunu göstermek için geniş bir coğrafi ortama düşük etkileşimli kukla sunucular yerleştirdi. Bulgular şöyle:

  • 10 sunucunun tamamı daha birinci gününü doldurmadan RDP saldırısına uğradı. Birinci saldırılan Paris, son saldırılan Singapur sunucusu oldu.
  • Sunucular 30 gün içinde 4 milyon 298 bin 513 başarısız giriş denemesine maruz kaldı. Bu her 6 saniyede bir denemeye karşılık geliyor. 2012 yılındaki araştırmada bu rakam yarım saatte bir olarak ölçülmüştü.
  • Sanayinin umumunda siber hatalıların açık RDP asıllarını taramak için Shodan üzere sitelerin kullanıldığı düşünülüyor. Sophos’un yaptığı araştırma ise saldırganların çoktan kendi araç ve tekniklerini ortaya koyduğunu, üçüncü parti sitelere gereksinim duymadıklarını gösteriyor.

Taarruz Üç Farklı Metotla Gerçekleşiyor

Sophos’un araştırmasında ataklar gerçekleşme biçimine göre KoçbaşıGüruh ve Kirpi olmak üzere üç kümeye ayrılıyor:

  • Koçbaşı, başkan şifresini ele geçirmek üzere düz fakat inatçı bir strateji kurguluyor. Araştırma sırasında bir saldırgan İrlanda’daki kukla sunucuya 10 gün içinde yalnızca üç farklı isim kullanarak 109 bin 934 giriş denemesi gerçekleştirdi.
  • Güruh, sıralı isimler ve en çok tercih edilen şifreler üzerinden ilerlemeyi tercih ediyor. Paris’teki sunucuya ABrown ismiyle 14 dakika içinde 9 kere giriş denemesi yapan bir saldırgan, sonuç alamayınca BBrown, CBrown, DBrown üzere isimlere geçti. Seri A.Mohamed, AAli, ASmith ve başkalarıyla devam etti.
  • Kirpi, bir anda gerçekleştirdiği çok sayıda atağın akabinde uzun mühlet sessiz kalıyor. Brezilya’daki sunucuyu gaye alan bir saldırgan birebir IP adresi üzerinden 4 saatlik hengam aralıklarıyla gerçekleştirdiği ataklarda 3 bin 369 ile 5bin 199 şifre kestiriminde bulundu.

RDP Kullananları Dakikalar İçinde Keşfediyorlar

Matt Boddy, RDP tehdidinin kurumlar açısından kıymetini şöyle aktarıyor:

“Şu an yerkürede RDP ile erişim sağlayan 3 milyondan fazla cihaz var. O denli ki BitPaymer, Ryuk, Matrix ve SamSam üzere gayeli fidye hücumlarının kullandıkları neredeyse tüm vesair sistemleri arkada bırakıp RDP şifrelerini kestirim etmeye yöneldiğini gördük. Kurduğumuz tüm kukla sunucular internete bağlandıktan kısa bir mühlet sonra yalnızca RDP kullandıkları için keşfedilerek maksat alındı. Bu taarruzlardan korunmanın yolu RDP tasarrufunu olabildiğince azaltmaktan ve tertip umumunda güçlü şifre belirleme siyasetleri oluşturmaktan ve sahih güvenlik protokolleri uygulamaktan geçiyor”

BASIN BÜLTENİNDEN DERLENMİŞTİR

Bir Cevap Yazın

Kategoriler

Reklam Alanı

Son Yorumlar

    Reklam Alanı

    ×
    %d blogcu bunu beğendi: