Sofistike bir tarama kampanyası, Tehdit İstihbarat Şirketi Greynoise’in 24 Ağustos 2024’te Microsoft Uzak Masaüstü Protokolü (RDP) hizmetlerini aynı anda araştıran 30.000’den fazla benzersiz IP adresi tespit ederken önemli ölçüde arttı.
Bu, sadece üç gün önce gözlemlenen yaklaşık 2.000 IP’lik bir başlangıç dalgasından önemli bir genişlemeyi temsil ederek bu yıl belgelenen en büyük koordineli RDP keşif operasyonlarından birini işaret ediyor.
Kampanya ilk olarak Güvenlik Araştırmacılarının dikkatini, Greynoise’in Microsoft uzak masaüstü web erişimini ve RDP Web İstemcisi Kimlik Doğrulama Portallarını hedefleyen taramada eşi görülmemiş bir artış gözlemlediği 21 Ağustos’ta yakaladı.
Bu hizmetlerin temel aktivitesi tipik olarak günde sadece 3-5 IP adresi içerir ve 1.971 IP’lerin ani görünümünü normal seviyelerin üzerinde büyüklük sıralarını temsil eden net bir anomali haline getirir.
Bu kampanyayı özellikle ilgili yapan şey, hassasiyeti ve koordinasyonuydu. Microsoft RD Web Erişim Hizmetini hedefleyen her bir IP adresi, aynı zamanda Microsoft RDP Web İstemci portalını aynı anda araştırdı ve bu da fırsatçı tarama yerine yüksek oranda organize bir işlemi gösterdi.
Tekdüzelik, saldırı metodolojisine yayıldı, 1.971 IP’lerin 1.851’i özdeş müşteri imzalarını paylaşarak, tek bir araç seti veya koordineli botnet modülünün kullanımını güçlü bir şekilde önerdi.
Saldırı vektörünün teknik analizi
Tarama işlemi, özellikle Microsoft’un RDP kimlik doğrulama iş akışlarındaki zamanlama güvenlik açıklarını tanımlamaya odaklandı.
Bu zamanlama saldırıları, gönderilen kullanıcı adlarının doğru olup olmadığını, doğru şifreler sağlamadan bile geçerli olup olmadığını belirlemek için sunucu yanıt sürelerindeki ince farklılıkları kullanır.
Bu keşif tekniği saldırganlar için özellikle değerlidir, çünkü kimlik temelli saldırılar yapmaya başlamadan önce geçerli kullanıcı hesaplarının kapsamlı listeleri oluşturmalarına izin verir.
Saldırganlar iki aşamalı bir yaklaşım kullandı. İlk olarak, RD Web erişimini veya RDP Web İstemci Hizmetlerini ortaya çıkaran İnternet’e bakan sistemleri sistematik olarak tanımladılar.
İkincisi, yanıt süresi analizi yoluyla geçerli kullanıcı adlarını ortaya çıkarabilecek kimlik doğrulama zamanlama kusurları için keşfedilen bu uç noktaları test ettiler.
Bu metodik numaralandırma, daha yüksek başarı oranlarına sahip daha sonraki kimlik bilgisi doldurma, şifre püskürtme veya kaba kuvvet saldırıları için bir temel oluşturur.
Saldıran IP’lerin kaynak dağılımı, yaklaşık% 73’ü Brezilya’dan kaynaklanan yoğun bir şekilde çarpık coğrafi kalıpları ortaya çıkardı.
Bununla birlikte, hedefleme dikkat çekici bir şekilde odaklandı, ABD ilk 21 Ağustos Spike’da münhasır hedef ülke olarak görev yaptı.
Bu coğrafi konsantrasyon, kampanyanın stratejik olarak seçilmiş bir zaman dilimi sırasında Amerikan altyapısını kullanacak şekilde tasarlanabileceğini düşündürmektedir.
Geynoise’nin analizi, katılımcı IP adreslerinin% 92’sinin (1.851 üzerinden 1.698) tehdit istihbarat veritabanlarında zaten kötü niyetli olarak işaretlendiğini ortaya koydu.
Ek olarak, aynı IP’lerin birçoğu, sofistike çok amaçlı saldırı araç setlerinin kullanımını gösteren açık proxy tarayıcılar ve web tarayıcıları olarak da etiketlenen çok amaçlı tarama davranışı sergiledi.
Bu kampanyanın zamanlaması, Amerikan Okula Dönüş Dönemi ile çakışacak şekilde kasıtlı olarak hesaplanmıştır.
Eğitim kurumları tipik olarak çok sayıda RDP özellikli laboratuvar sistemi ve uzaktan erişim hizmetlerini Ağustos ayı sonlarında çevrimiçi olarak, aynı anda binlerce yeni kullanıcı hesabına dahil eder.
Bu ortamlar genellikle öğrenci kimlikleri veya firstname.lastname kombinasyonları gibi öngörülebilir kullanıcı adı formatlarını kullanır ve numaralandırma saldırılarını özellikle etkili hale getirir.
2019 Bluekeeps güvenlik açığı (CVE-2019-0708), yaygın RDP taramasının, canlı saldırı yöntemleri ortaya çıktığında nasıl hızla kitlesel sömürüye geçebileceğini gösteren bir emsal sağlıyor.
Geynoise’nin araştırması, teknoloji odaklı tarama sivri uçlarının% 80’inin altı hafta içinde yeni güvenlik açıklarının keşfinden önce geldiğini ve bu kampanyanın RDP ile ilgili yaklaşan güvenlik açıklamalarını gösterebileceğini gösteriyor.
Son tehdit istihbaratı, casusluk operasyonları için RDP’den yararlanan sofistike aktörleri de belgeliyor, Rusya-Nexus grupları Avrupa askeri ve hükümet hedeflerine karşı veri açığa çıkması için daha az bilinen RDP yeteneklerini kullanıyor ve protokolün değerini basit uzaktan erişimin ötesinde gösteriyor.
Güvenlik ekipleri, RDP sertleştirme önlemlerine öncelik vermeli ve bu büyük tarama işlemi sırasında toplanan keşif verilerinden yararlanan potansiyel takip saldırıları için olay müdahale prosedürleri hazırlamalıdır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!