RDP Atakları, Nedenleri, Sonuçları ve Alınabilecek Önlemler

RDP Atakları, Nedenleri, Sonuçları ve Alınabilecek Önlemler
Tarih: 07/07/2020

RDP Atakları, Nedenleri, Sonuçları ve Alınabilecek Önlemler

Dünyanın işgücü giderek merkezîleşiyor. Uzaktan çalışma, dış kaynak kullanımı ve bulut tabanlı teknolojilerin yükselişi, coğrafi sınırları bulanıklaştırmaya devam ederken, küçük ve orta ölçekli işletmelerin dünyaya açılmasına neden oluyor.

Bu tür bir çalışma düzenlemesini destekleyen ağları korumak için, birçok küçük ve orta ölçekli işletme, ağ sorunlarını tanılamak ve onarmak için uzak masaüstü protokolünü (RDP) kullanan tesis dışı teknik destek ekiplerine güvenir. RDP, terminal sunucusu ile terminal sunucusu istemcisi arasında güvenli ağ iletişimini sağlar. Ağ yöneticileri tarafından sanal masaüstlerine ve uygulamalara uzaktan erişmek için yaygın olarak kullanılır.

RDP kullanımı, özellikle korumasız uzak masaüstlerinin bilgisayar korsanları arasında hızla tercih edilen giriş noktası haline gelmesi nedeniyle yüksek risk taşır. Ne yazık ki, birçok şirket birkaç basit güvenlik önlemini takip etmeyerek kendilerini risklere maruz bırakıyor.Dünyanın işgücü giderek merkezîleşiyor. Uzaktan çalışma, dış kaynak kullanımı ve bulut tabanlı teknolojilerin yükselişi, coğrafi sınırları bulanıklaştırmaya devam ederken, küçük ve orta ölçekli işletmelerin dünyaya açılmasına neden oluyor.


Bu tür bir çalışma düzenlemesini destekleyen ağları korumak için, birçok küçük ve orta ölçekli işletme, ağ sorunlarını tanılamak ve onarmak için uzak masaüstü protokolünü (RDP) kullanan tesis dışı teknik destek ekiplerine güvenir. RDP, terminal sunucusu ile terminal sunucusu istemcisi arasında güvenli ağ iletişimini sağlar. Ağ yöneticileri tarafından sanal masaüstlerine ve uygulamalara uzaktan erişmek için yaygın olarak kullanılır.

RDP kullanımı, özellikle korumasız uzak masaüstlerinin bilgisayar korsanları arasında hızla tercih edilen giriş noktası haline gelmesi nedeniyle yüksek risk taşır. Ne yazık ki, birçok şirket birkaç basit güvenlik önlemini takip etmeyerek kendilerini risklere maruz bırakıyor.

RDP Brute force attack nedir?

Üzerinde birkaç yüz bin anahtar bulunan bir hırsız düşünün. Suçlu, ön kapının kilidini açmak için anahtarları birbiri ardına kullanır. Kilidiniz ne kadar iyi olursa, içeri girmeleri o kadar uzun sürer. Ancak, er ya da geç, muhtemelen doğru anahtarı bulacaklar ve içeride istediklerini yapacaklardır. Bu bir RDP saldırısının temel dayanağıdır.


Bir RDP Brute Force saldırısında, bilgisayar korsanları, RDP sunucuları tarafından kullanılan IP ve TCP bağlantı noktası aralıklarını tanımlamak için Masscan gibi ağ tarayıcıları kullanır. Suçlular sayısız kullanıcı adı ve şifre kombinasyonu kullanarak otomatik olarak tekrar tekrar giriş yapmaya çalışan araçlarını kullanarak makineye (genellikle yönetici olarak) erişmeye çalışır. Bu süre zarfında, saldırılar sistem kaynaklarını tükettikçe sunucu performansı isabet alacaktır.

Saatler, günler ve hatta haftalar süren sistematik deneme ve hatalardan sonra, bilgisayar korsanları nihayetinde kullanıcı adı ve parolayı tahmin edebilir ve sunucu erişimi verebilir ve bir kez girdikten sonra hasar potansiyeli felaketten başka bir şey değildir.

Bilgisayar korsanları neden RDP saldırısı kullanır?

Bir saldırganın RDP üzerinden erişimi olduğunda, saldırıya uğramış hesabın ayrıcalık sınırları dahilinde hemen hemen her şeyi yapabilir. Yönetici erişimi kazanan suçlular, virüsten koruma yazılımını devre dışı bırakma, kötü amaçlı yazılım yükleme, şirket verilerini çalma, dosyaları şifreleme ve çok daha fazlası dahil olmak üzere, istedikleri her şeyi yapabilirler. Tahmin edebileceğiniz gibi, bu bozulma düzeyi bir şirketin itibarı, finansmanı ve günlük operasyonları üzerinde büyük bir etkiye sahip olabilir. Bazı siber suçlular kaos yaratmak isterken, birçoğu aşağıdakiler gibi belirli hedefleri göz önünde bulundurarak RDP saldırıları başlatır.

Ransomware Nedir ?

En kazançlı, kötü amaçlı yazılım biçimi olan Ransomware, en çok RDP saldırıları yoluyla yayılır.İçeri girdikten sonra, bilgisayar korsanlarının sistem dosyalarını şifrelemesi ve kurbanlarından fahiş fidye talep etmesi basit bir konudur. 2017'nin ilk çeyreğinde tüm fidye yazılımı ataklarının üçte ikisinin RDP yoluyla sağlandığını tahmin ediyor. 

Keylogging Nedir ?

Bir keylogger, arka planda oturan ve bilginiz olmadan bastığınız her tuşu izleyen küçük bir kötü amaçlı yazılım parçasıdır. Kredi kartı bilgileri, şifreler, hassas şirket bilgileri ve daha fazlası gibi özel verileri toplamak için kullanılabilir. Suçlular daha ince bir yaklaşım benimsemek istiyorlarsa, bir keylogger'ı gizlice kurmak için bir RDP saldırısı kullanabilirler. 

İşletmenizi RDP Brute Force Saldırılarına Karşı Nasıl Koruyabilirsiniz?

RDP saldırılarıyla mücadelenin anahtarı proaktif olmaktır. Belirtildiği gibi, bir bilgisayar korsanı şirketinizin sistemine giriş yaptıktan sonra, oluşturabilecekleri tahribatın bir sınırı yoktur. Bunu göz önünde bulundurarak, öncelikle uzak masaüstü güvenlik risklerini en aza indirerek ilk erişimi önlemeye odaklanmanız gerekir. Bu, çeşitli şekillerde gerçekleştirilebilir:

1Güçlü kullanıcı adı ve şifre kullanımı : Bir RDP Brute Force saldırısının kurbanı olmaktan kaçınmak için yapabileceğiniz en basit ve etkili şey, giriş bilgilerinizi değiştirmek. Hesap adınızı varsayılan "ADMIN" den daha karmaşık bir adla değiştirmek, ayrıca parolanızı uzun, benzersiz, kompleks (sayılar, simgeler ve büyük ve küçük harfler içermeli) hale getirmek, siber suçlular için kullanıcı adınızı ve şifrenizi tahmin etme gerekliliğini iki kat daha zor hale getirir. Yeni bir hesap oluşturmadan önce mevcut yönetici hesabını devre dışı bırakmanız gerekir.

2. Uzaktan Erişim Kısıtlamalarının Ayarlanması: Saldırı riskini daha da azaltmak için, RDP kullanarak oturum açabilecek kişi sayısında bir sınır belirleyin. RDP erişimini yalnızca gerçekten gereksinim duyanlara kısıtlamak, güvenlik açığı riskini en aza indirir.

3. Account Lockout Policy Berlilenmesi :Belirtildiği gibi, kaba kuvvet RDP saldırıları yüzlerce, binlerce hatta milyonlarca giriş denemesi gerektirir. Belirli bir sayıda denemeden sonra kullanıcıları kilitleyen basit bir politika oluşturarak saldırıları yavaşlatabilirsiniz.

4. RDP Gateway Kullanın : RDP ağ geçidi, tüm dahili ağ kaynaklarına uzaktan kullanıcı erişimini kaldırarak ve bunu bir noktadan noktaya RDP bağlantısıyla değiştirerek daha fazla ağ kontrolü sağlar. Bu, kimlerin bağlanabileceğini, hangi kaynaklara erişebileceklerini, hangi tür kimlik doğrulama istemcilerinin kullanması gerektiğini ve daha fazlasını belirlemenizi sağlar.

5. RDP Bağlantı Noktasını Değiştirin : İnternet'i tararken, bilgisayar korsanları genellikle varsayılan RDP bağlantı noktasını (TCP 3389) kullanan bağlantıları arar. Teorik olarak bu, dinleme bağlantı noktasını başka bir şeye değiştirerek esasen RDP bağlantınızı “gizleyebileceğiniz” anlamına gelir.

Bunu yapmak için, aşağıdaki kayıt defteri alt anahtarını değiştirmek üzere Windows Kayıt Defteri Düzenleyicisi'ni kullanın:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp \ PortNumber

UYARI: Kayıt defterinin düzenlenmesi ciddi sorunlara neden olabilir. Düzenlemeden önce daima kayıt defterinizi yedekleyin ve herhangi bir şekilde emin değilseniz düzenleme yapmaya çalışmayın.

Belirsiz güvenlik, özellikle güvenilir veya etkili bir koruma yöntemi değildir. Buna ek olarak, birçok modern tarayıcı TÜM bağlantı noktalarını yalnızca TCP 3389 için değil, RDP bağlantıları için otomatik olarak kontrol eder. Bununla birlikte, bazı kullanıcılar bu yaklaşımı RDP saldırılarını önlemede yararlı bulabilir.

6Önleme En İyi Savunmadır