Remote Desktop Protocol
Meningkatnya pekerja jarak jauh telah meningkatkan server Remote Desktop Protocol (RDP) perusahaan untuk membuat akses jarak jauh agar dapat digunakan oleh banyak orang atau penggunaan bersama.
Akibatnya, menurut laporan ancaman selama empat bulan pertama tahun 2022, lebih dari 100 miliar serangan terhadap RDP terjadi, lebih dari setengahnya dilacak kembali ke blok alamat IP Rusia.
|
Baca juga: Remote Desktop Protocol Titik Masuk Terbesar Serangan SIber Selama Pandemi |
Ada Apa dengan RDP?
Serangan telah berkembang selama beberapa tahun terakhir. Namun, tidak setiap serangan meningkat, ada salah satu kerentanan mengalami penurunan yang cukup signifikan dalam upaya eksploitasi.
Yaitu eksploitasi wormable BlueKeep (CVE-2019-0708) di Layanan Remote Desktop Protocol telah menurun 44% dari puncaknya pada tahun 2020.
ESET mengaitkan penurunan ini dengan kombinasi praktik tambalan untuk versi Windows yang terpengaruh ditambah perlindungan eksploitasi di perimeter jaringan.
Melihat upaya untuk mengeksploitasi kerentanan seperti BlueKeep berkurang dari waktu ke waktu sepertinya merupakan kabar baik. RDP tetap digunakan secara luas, dan ini berarti bahwa pelaku akan terus melakukan penelitian tentang kerentanan yang dapat mereka eksploitasi.
RDP tetap menjadi fitur Windows yang biasa digunakan dan hanya karena ada penurunan penggunaan satu exploit terhadapnya, tidak berarti bahwa serangan terhadapnya secara keseluruhan menurun.
Faktanya, serangan terhadap kerentanannya telah meningkat secara besar-besaran, yang memunculkan kemungkinan lain untuk penurunan deteksi BlueKeep: Eksploitasi RDP lain mungkin jauh lebih efektif sehingga palku telah beralih ke sana.
Melihat data selama dua tahun dari awal 2020 hingga akhir 2021 tampaknya setuju dengan penilaian ini. Selama periode itu, telemetri ESET menunjukkan peningkatan besar-besaran dalam upaya koneksi RDP berbahaya.
Seberapa besar lompatannya? Pada kuartal pertama tahun 2020, kami melihat 1,97 miliar upaya koneksi. Pada kuartal keempat tahun 2021, telah melonjak menjadi 166,37 miliar upaya koneksi, meningkat lebih dari 8.400%!
|
Baca juga: Hacker Menyamar Admin Perusahaan menyusup dari RDP |
Data Baru Serangan SMB
Dengan kumpulan data pada serangan RDP, datang tambahan telemetri yang tidak terduga dari percobaan serangan Server Message Block (SMB).
SMB dapat dianggap sebagai protokol pendamping untuk RDP, yang memungkinkan file, printer, dan sumber daya jaringan lainnya untuk diakses dari jarak jauh selama sesi RDP.
2017 melihat rilis publik dari eksploitasi wormable EternalBlue (CVE-2017-0144). Penggunaan eksploitasi terus tumbuh hingga 2018, 2019, dan hingga 2020, menurut telemetri ESET.
Kerentanan yang dieksploitasi oleh EternalBlue hanya ada di SMBv1, versi protokol yang berasal dari tahun 1990-an. Namun, SMBv1 diimplementasikan secara luas di sistem operasi dan perangkat jaringan selama beberapa dekade dan baru pada tahun 2017 Microsoft mulai mengirimkan versi Windows dengan SMBv1 dinonaktifkan secara default.
Pada akhir tahun 2020 dan hingga tahun 2021, ESET melihat penurunan yang nyata dalam upaya untuk mengeksploitasi kerentanan EternalBlue.
Seperti halnya BlueKeep, ESET mengaitkan pengurangan deteksi ini dengan praktik patching, peningkatan perlindungan di perimeter jaringan, dan penurunan penggunaan SMBv1.
|
Baca juga: Hentikan RDP Sumber Masalah |
Telemetri ESET
Penting untuk dicatat bahwa informasi yang disajikan ini dikumpulkan dari telemetri ESET. Setiap kali seseorang bekerja dengan data telemetri ancaman, ada ketentuan tertentu yang harus diterapkan untuk menafsirkannya:
- Berbagi telemetri ancaman dengan ESET adalah opsional; jika pelanggan tidak terhubung ke sistem LiveGrid® ESET atau berbagi data statistik anonim dengan ESET, maka kami tidak akan memiliki data apa pun tentang apa yang mereka hadapi dalam instalasi perangkat lunak ESET.
- Deteksi aktivitas RDP dan SMB yang berbahaya dilakukan melalui beberapa lapisan teknologi pelindung ESET, termasuk Botnet Protection, Brute Force Attack Protection, Network Attack Protection, dan sebagainya. Tidak semua program ESET memiliki lapisan perlindungan ini. Misalnya, ESET NOD32 Antivirus memberikan perlindungan tingkat dasar terhadap malware untuk pengguna personal dan tidak memiliki lapisan pelindung ini. Mereka hadir dalam ESET Internet Security dan ESET Smart Security Premium, serta dalam program perlindungan titik akhir ESET untuk pengguna bisnis.
- Laporan ancaman ESET menyediakan data geografis hingga ke tingkat wilayah atau negara. Deteksi GeoIP adalah campuran ilmu pengetahuan dan seni, dan faktor-faktor seperti penggunaan VPN dan kepemilikan blok IPv4 yang berubah dengan cepat dapat berdampak pada akurasi lokasi.
- Demikian juga, ESET adalah salah satu dari banyak pembela di ruang ini. Telemetri memberi tahu kita apa yang dicegah oleh instalasi perangkat lunak ESET, tetapi ESET tidak memiliki wawasan tentang apa yang dihadapi pelanggan produk keamanan lain.
Karena faktor-faktor ini, jumlah absolut serangan akan lebih tinggi daripada yang dapat kita pelajari dari telemetri ESET.
Telemetri ESET adalah representasi akurat dari situasi keseluruhan; peningkatan dan penurunan keseluruhan dalam deteksi berbagai serangan, berdasarkan persentase, serta tren serangan yang dicatat oleh ESET, cenderung serupa di seluruh industri keamanan.
|
Baca lainnya: |
Sumber berita:
