İşletmenizi RDP saldırılarından ve Mirai bot ağlarından koruma

   Nisan 15, 2023  Posted in MalwareBytes


Malwarebytes for Business ile bağlantı noktası tarama saldırılarını önleyin.

Güvenliği ihlal edilmiş IP adresleri ve etki alanları – aksi takdirde bilgisayar korsanları tarafından sahibinin bilgisi olmadan istismar edilen meşru siteler – bağlantı noktası tarama saldırıları gerçekleştirmek için sıklıkla kullanılır.

Bağlantı noktası taraması, bir bilgisayar ağını açık bağlantı noktaları için sistematik olarak taramayı içerir; bu bağlantı noktaları daha sonra yetkisiz erişim elde etmek veya sistemin güvenlik açıkları hakkında bilgi toplamak için tehdit aktörleri tarafından kullanılabilir.

Bu yazıda, bağlantı noktası tarama saldırılarını kullanan en büyük iki tehdidi, RDP saldırılarını ve Mirai botnet’lerini ve işletmelerin Malwarebytes for Business kullanarak kendilerini nasıl koruyabileceklerini açıklayacağız.

Ele geçirilen tespitler: RDP saldırıları ve Mirai bot ağları

Siber suçlular genellikle, sözlük saldırıları olarak adlandırılan saldırıları kullanmadan önce, bilinen kullanıcı adlarını ve parolaları girip deneyerek, kombinasyonlardan herhangi birinin erişim izni verip vermediğini görmek için hedef bağlantı noktasında keşif gerçekleştirir.

Güvenliği ihlal edilmiş IP adreslerinin en yaygın iki tespiti, sistemlerin açık RDP (Uzak Masaüstü Protokolü) bağlantı noktaları ve Mirai gibi IoT (Nesnelerin İnterneti) bot ağlarını taramasıdır.

Uzak Masaüstü Protokolü, tam olarak adından da anlaşılacağı gibi, bir PC’yi uzaktan kontrol etmek için, gerçekten arkasında oturuyor olsaydınız sahip olacağınız tüm gücü ve kontrolü sağlayan bir araçtır – yanlış ellere geçmesini bu kadar tehlikeli yapan da budur. Aslında, fidye yazılımı saldırıları için birincil saldırı vektörlerinden biri Uzak Masaüstü Protokolü (RDP) olmuştur.

Genellikle güvenliği ihlal edilmiş sunucular biçiminde bulunan RDP bağlantı noktası tarayıcıları, RDP için varsayılan bağlantı noktasını deneyerek açık RDP bağlantı noktaları için interneti tarar, TCP 3389. Güvenliği ihlal edilmiş sunucuyu kontrol eden siber suçlular daha sonra, RDP oturum açma kimlik bilgilerini bulmak için yaygın kullanıcı adı ve parola kombinasyonlarını tekrar tekrar girerek kaba kuvvetle içeri girmeye çalışırlar.

RDP dışında siber suçlular genellikle FTP (20/21), POP3 (110/995), IMAP (143/993), SMTP (25/465/587) ve SQL (1433) dahil olmak üzere çeşitli diğer ağ protokolleri için bağlantı noktası taramaları gerçekleştirir. /1434/3306). RDP ve diğer ağ protokolleri aracılığıyla erişim elde etmek, saldırganların sistemlere sızmasına ve çeşitli kötü amaçlı yazılımları dağıtmasına olanak tanır.

Öte yandan Mirai, öncelikle IP kameralar, yönlendiriciler ve diğer internete bağlı cihazlar gibi Nesnelerin İnterneti (IoT) cihazlarından oluşan bir botnet’tir. Mirai, açık telnet sunucuları için interneti aktif olarak tarar. bağlantı noktaları 23 veya 2323ve birini keşfettikten sonra, bilinen varsayılan kimlik bilgilerini kullanarak kimlik doğrulamasını dener. Bu tür kimlik bilgilerini birçok IoT cihazında bulmak kolaydır; müşteriler bir ürünü kurmak için ilk kez satın aldıklarında genellikle hem kullanıcı adı hem de parola için önceden paketlenmiş “admin” ve “admin” kombinasyonlarıdır.

Mirai, kötü niyetli oturum açma girişimlerinde başarılı olursa, aygıtı tehlikeye atar ve onu mevcut botnet’e entegre eder.

DDoS saldırıları başlatmanın yanı sıra Mirai gibi bot ağları, bilgisayar korsanlarına web sitesi güvenliğini zayıflatma, kredi kartı bilgilerini çalma ve spam dağıtma konusunda yardımcı olabilir.

İşletmenizi Malwarebytes for Business ile koruma

Malwarebytes for Business, açık bağlantı noktalarını tarayan ve bunlara saldıran güvenliği ihlal edilmiş IP adreslerinden yapılan algılamalar da dahil olmak üzere tehditleri izlemek ve yönetmek için kapsamlı bir çözüm sunar.

Örneğin, Malwarebytes şunları engeller: IP adresi 5.39.37.10 Mirai botnet ile ilişkili olduğundan ve 81.198.240.73 çünkü RDP soruşturmalarına veya saldırılarına karıştığı tespit edildi.

Kaba Kuvvet Koruması bulutta barındırılan güvenlik platformumuz Nebula’daki politikalar, hangi protokollerin korunacağını, kullanılan bağlantı noktalarını (varsayılan veya özel) belirtmek ve tetikleme kuralları oluşturmak üzere yapılandırılabilir. İzleme ve algılama olarak ayarlanırsa, ilke bağlantı noktalarını engellemez. Ancak, engellemeye ayarlanırsa, yapılandırılan kurallara dayalı olarak iletişimleri engellemek için Windows Güvenlik Duvarı’nı kullanır.

Bir engelleme uygulandığında, rahatsız edici IP adresi, yukarıdaki örnek ekran görüntüsünde gösterildiği gibi önceden belirlenmiş bir süre, örneğin 30 dakika boyunca bir “hapishaneye” konulacaktır. Engellemeler maksimum 60 dakika sürer çünkü IP adresleri meşru kullanıcılara yeniden atanabilir veya bir saldırgan meşru bir kullanıcının IP adresinden yararlanabilir.

Malwarebytes’in algılayabileceği iki tür gelen bağlantı vardır: Engellenen Gelen Bağlantılar ve Bulunan Gelen Bağlantılar.

Engellenen gelen bağlantılar

Aşağıdaki alanlara sahip algılamalar, genellikle bir bağlantı noktası açıkken ve internete açıkken gerçekleşir:

  • Tip: Gelen Bağlantı

  • Aksiyon Alınan: Engellendi

Bu algılamalar, Web Koruması gerçek zamanlı koruma katmanı tarafından engellenir. Bu algılamalar gerçekleştiğinde, engellenen IP adresinin tarandığı veya farklı bağlantı noktalarını kullanarak uç noktaya girmeye çalıştığı anlamına gelir.

Malwarebytes, kötüye kullanım geçmişi olan IP adreslerini engeller ve kötü amaçlı bağlantıları doğru bir şekilde önler.

Gelen bağlantılar bulundu

Aşağıdaki alanların raporlandığı tespitler, genellikle yönlendiricide veya güvenlik duvarında açık bağlantı noktalarının bulunmasının bir sonucudur:

Bu algılamalar, Nebula politikasında belirtilen Kaba Kuvvet Koruması tetikleme kuralı ayarlarınıza göre gerçekleşir.

Nebula’da Kaba Kuvvet Korumasını Yapılandırma

Nebula’da Kaba Kuvvet Korumasını yapılandırmak için:

  1. Sol gezinme menüsünde şuraya gidin: Yapılandır > İlkeler.

  2. Bir ilke seçin, ardından Kaba Kuvvet Koruması sekme.

  3. İş istasyonlarınız veya sunucularınız için aşağıdaki protokolleri seçin:

  • İş istasyonu ve sunucu protokolleri: RDP protokolünü işaretleyin.

  • Yalnızca sunucu protokolleri: İşaretle FTP, IMAP, MSSQL, POP3, SMTP veya SSH protokoller.

  1. Uç nokta ortamınıza ve protokol gereksinimlerinize göre özel bağlantı noktası ayarlarını yapılandırın.

  2. Tüm etkin protokollerde belirli bir dakika aralığındaki başarısız uzaktan oturum açma girişimlerinin sayısına dayalı olarak bir Tetikleme kuralı oluşturun. birini seçin engellemek IP adresi veya izlemek ve tespit etmek tetikleme eşiğine ulaşıldığında gerçekleşen olay.

  3. İsteğe bağlı olarak, seçeneği etkinleştirin Özel ağ bağlantılarının engellenmesini önleyin.

  4. Etkinleştirildiğinde, özel ağ adresi aralıklarındaki uç noktalar, başarısız oturum açma girişimleri nedeniyle Kaba Kuvvet Korumasını tetiklemez. Bu, aşağıdaki ağ aralıklarını hariç tutar:

  • 10.0.0.0/8 (10.0.0.0-10.255.255.255)

  • 172.16.0.0/12 (172.16.0.0-172.31.255.255)

  • 192.168.0.0/16 (192.168.0.0-192.168.255.255)

  • 127.0.0.0/8 (127.0.0.0-127.255.255.255)

  1. Politikanızın sağ üst kısmındaki Kaydet’e tıklayın.

İşinizi tehlikeye atılmış tehditlerden koruma

İşletmeler, Malwarebytes for Business’ın gelişmiş tehdit algılama ve koruma yeteneklerinden yararlanarak, RDP saldırıları (ve diğer ağ protokollerine yönelik saldırılar) ve IoT botnet’leri dahil olmak üzere güvenliği ihlal edilmiş IP adresleri ve etki alanlarından kaynaklanan saldırılara karşı kendilerini etkili bir şekilde koruyabilirler. Nebula’da Kaba Kuvvet Korumasını yapılandırmak, şirketlerin siber suçlulardan bir adım önde olmalarını ve ağlarının ve verilerinin güvenliğini sağlamalarını sağlar.

Bağlantı noktası tarama saldırılarına karşı koruma, Malwarebytes for Business’ın 21 koruma katmanını birleştiren hepsi bir arada bir uç nokta güvenlik portföyü içeren çok katmanlı savunma yaklaşımının yalnızca bir yönüdür.

Ücretsiz Malwarebytes Business Deneme Sürümünüzü İsteyin



Source link