گزارش دیجیتال فارنزیک - بخش دهم

در این مقاله با یک واقعیت مهم در امنیت مواجهیم: تغییر پورت RDP به‌تنهایی هیچ تضمینی برای امن‌بودن نیست. 

مهاجمان امروزی صرفاً پورت پیش‌فرض 3389 را هدف نمی‌گیرند؛ آن‌ها با اسکن گسترده و حملات Brute Force، سرویس RDP را روی پورت‌های غیراستاندارد هم پیدا می‌کنند و در صورت دستیابی به یک حساب معتبر، خیلی سریع زنجیره حمله را ادامه می‌دهند.

گزارشی که در ادامه می‌آید نمونه‌ای واقعی از همین مسئله است؛ جایی که مهاجم پس از ورود از طریق RDP، در چند دقیقه با ابزارهای شناسایی شبکه محیط را بررسی کرده، سپس به Domain Controller متصل شده و در کمتر از حدود ۱۷ دقیقه باج‌افزار Harma (از خانواده Dharma/CrySiS) را روی دو سیستم اجرا کرده است. 

این مطالعه موردی نشان می‌دهد چرا اتکا به پنهان‌سازی سرویس‌ها کافی نیست و چرا باید کنترل‌های جدی‌تری مثل غیرفعال‌سازی حساب‌های پیش‌فرض، استفاده از MFA، محدودسازی دسترسی‌ها و ترجیحاً قرار دادن RDP پشت VPN یا راهکارهای واسط امن را به‌کار گرفت.

مطالعه این گزارش می‌تواند دید بهتری نسبت به رفتار مهاجمان، ابزارهای مورد استفاده و تکنیک‌های به‌کاررفته در چنین حملاتی ارائه دهد و به درک بهتر نحوه شناسایی و مقابله با این تهدیدات کمک کند.

به منظور دانلود نسخه کامل این گزارش به لینک زیر مراجعه نمایید:

دانلود گزارش دیجیتال فارنزیک بخش دهم