Исследователи из компании Rapid7 изучили безопасность паролей администраторов, используемых для защиты двух основных протоколов удаленного доступа к корпоративным сетям, и результаты оказались не очень хорошими.
Эти два протокола - Remote Desktop Protocol (RDP) и Secure Shell (SSH) - широко используются для управления виртуальными машинами в облаках. Учитывая растущую популярность облачных развертываний и удаленной работы, по мнению исследователей, важно знать, как злоумышленники атакуют эти системы.
Rapid7 обнаружила три самых популярных имени пользователя для RDP: «administrator, «user» и «admin». RDP - главная цель для злоумышленников, использующих шифровальщики.
Три самых популярных имени пользователя для SSH – «root», «admin» и «nproc», согласно отчету Password Research Report. Другие популярные пароли для SSH и RDP – «admin», «password» и «123456».
Для проведения исследования компания Rapid7 изучила учетные данные, использованные киберзлоумышленниками для компрометации своих ханипотов RDP и SSH в период до 9 сентября 2022 года.
Эти точки являются частью проекта компании Project Heisenberg, который позволяет ботам и злоумышленникам подключаться к сети. За это время компания зафиксировала десятки миллионов попыток подключения к своим ханипотам и полмиллиона уникальных паролей.
Затем компания сравнила данные со списком паролей «rockyou», состоящим из восьми миллиардов имен и паролей, используемых пен-тестерами и злоумышленниками. Эти списки полезны для атак «распыления» паролей, когда злоумышленник использует список против многих учетных записей, где имя пользователя известно, а также для других атак методом перебора. Rapid7 обнаружила, что пароли, используемые для доступа к ее ханипотам, почти полностью совпадают с набором rockyou.
«Примечательно, что из почти 500 000 уникальных паролей, наблюдавшихся в наших ханипотах, набор rockyou содержал практически все (99,997%). Из этого наблюдения мы сделали вывод, что злоумышленники не генерируют действительно случайные пароли, а работают исключительно со списками распространенных паролей».
Данные исследования также показывают, что пароли, используемые злоумышленниками, в большинстве своем являются наиболее популярными, такими как «admin», «password» и «123456».
Rapid7 считает, что злоумышленники используют небольшое количество имен пользователей и паролей, а затем переходят к другим. Она также часто видит, как один IP-адрес пробует одно имя пользователя и пароль, например, «root:root» или «admin:admin», что говорит об автоматизированном процессе и, возможно, наличии ботнета.
Rapid7 обнаружила, что распределение имен пользователей и паролей является «приблизительно экспоненциальным», что означает, что пароли, которые встречаются чаще, встречаются экспоненциально чаще, чем менее распространенные пароли.
Наиболее распространенными именами пользователей, которые злоумышленники пытаются использовать для RDP, являются «Administrator» и «administrator». Вероятно, это связано с тем, что RDP обычно работает в Windows, а учетная запись администратора по умолчанию называется «administrator».
Для SSH выделяются два имени пользователя – «root» и «admin», которые злоумышленники выбирают потому, что большинство дистрибутивов Linux поставляются с пользователем «root», а «admin» - обычное имя пользователя по умолчанию в маршрутизаторах и устройствах IoT. Поэтому вредоносные программы для IoT, такие как Mirai, пытаются пройти аутентификацию, используя учетные данные устройства по умолчанию. Это также причина, по которой АНБ рекомендует администраторам изменять учетные данные по умолчанию на сетевых устройствах.
На SSH-ханипотах компании Rapid7 были перебраны 497 848 паролей. Самыми распространенными попытками были «123456» и «password».
Когда Rapid7 удалила набор данных «rockyou» из списка паролей, замеченных в ее ханипотах, осталось только 14 из общего числа.
Главный совет Rapid7 - изменить учетные данные по умолчанию и по возможности отключить учетные записи локальных администраторов и гостей. Это не остановит таргетированные атаки, но поможет справиться с оппортунистическими злоумышленниками. Кроме того, рекомендуется использовать менеджеры паролей.
Для защиты RDP и SSH организациям следует использовать корпоративную VPN и ограничить удаленные подключения, чтобы они работали только через хосты, прошедшие аутентификацию в VPN. Кроме того, для предотвращения большинства атак методом перебора, возможно, стоит изменить порты, хотя фирма отмечает, что это действие относится к категории «безопасность через неясность».
«Для RDP лучшей защитой является ограничение доступа с помощью брандмауэров и групп сетевой безопасности, чтобы доступ к экземплярам с RDP был возможен только с доверенных IP-адресов. Использование узла перехода или бастионного узла для облачных развертываний также является хорошей практикой вместо того, чтобы открывать RDP напрямую в интернет» - отмечается в статье.
При защите SSH наиболее важной мерой безопасности является отключение аутентификации на основе паролей в пользу аутентификации на основе сертификатов. Также настоятельно рекомендуется ограничить число пользователей, у которых включен SSH, изменив файл sshd_config. Также обычно рекомендуется отключить SSH для всех учетных записей root, а также изменить максимальное количество попыток входа.
Источник: https://www.zdnet.com