Eliminación de ataques de fuerza bruta RDP con limitación de velocidad
Al corriente:11 de marzo de 2022por Mark Stockley
Última actualización:12 de marzo de 2022
Gracias al equipo de inteligencia de amenazas de Malwarebytes por la información que proporcionaron para este artículo.
No hace mucho tiempo, adivinar con éxito una contraseña del Protocolo de escritorio remoto (RDP) de Windows era ampliamente considerado como la opción número uno de los operadores de ransomware para violar un objetivo. Atrajo mucha cobertura de prensa hace tres o cuatro años, y el interés en él se renovó en 2020 con la repentina adición de aproximadamente un millón de computadoras conectadas a RDP a Internet, con el inicio de la pandemia y el trabajo a gran escala desde casa.
Las cosas han estado un poco tranquilas desde entonces, y en 2021 RDP fue eclipsado, al menos en la prensa, por el uso de las pandillas de ransomware de una gran cantidad de vulnerabilidades diferentes y desviadoras, como la cadena de ataque ProxyLogon .
Se le perdonaría pensar que el abuso de RDP era cosa del pasado. No lo es.
El protocolo de entrega de ransomware
RDP es una característica fantásticamente poderosa de Windows que hace que el trabajo remoto y la administración remota parezcan no ser remotos en absoluto. Si una computadora con Windows tiene una conexión a Internet y RDP activado, cualquier persona con un nombre de usuario y una contraseña válidos puede usarla desde cualquier lugar, con las mismas funciones y derechos de acceso que si estuviera sentado frente a ella.
RDP es tan útil que millones de computadoras con Windows conectadas a Internet lo tienen habilitado.
Sabemos esto porque es trivialmente fácil encontrarlos, y eso es un problema.
Para ver por qué, imagina que trabajas en un edificio de oficinas que no cierra sus puertas por la noche y, en cambio, deja que los delincuentes deambulen, probando suerte al iniciar sesión en sus computadoras. Los delincuentes no tienen prisa, pueden volver noche tras noche, por lo que tienen mucho tiempo para encontrar una computadora con una contraseña débil o para conectarse a una computadora e intentar contraseñas cada vez más complejas.
Internet es como esa oficina demasiado permisiva y, gracias a RDP, tiene más de cuatro millones de computadoras expuestas a todos los ciberdelincuentes del mundo y su software de adivinación de contraseñas.
La adivinación de contraseñas RDP ha sido una técnica enormemente importante para las pandillas de ransomware en los últimos años, porque les permite violar la red de las víctimas disfrazadas de empleados legítimos. Ha tenido tanto éxito que ha generado delincuentes que se especializan en adivinar contraseñas RDP y mercados donde pueden venderlas a operadores de ransomware.
La fuerza bruta RDP está viva y bien
El equipo de Malwarebytes Threat Intelligence mantiene trampas RDP que rastrean la efectividad de Malwarebytes Brute Force Protection (BFP), una contramedida contra la adivinación de contraseñas RDP. Los honeypots brindan una visión reveladora de la enorme cantidad de ataques de fuerza bruta RDP que ocurren en segundo plano, todo el día, todos los días.
Tomamos una porción de datos de un período sin complicaciones del año pasado, los últimos 15 días de octubre de 2021, para ilustrar la escala del problema.
El honeypot en nuestra prueba fue una computadora con Windows conectada a Internet con RDP habilitado en un puerto no estándar. Utilizaba límites de velocidad de BFP listos para usar: los atacantes quedaban fuera durante cinco minutos si ingresaban cinco contraseñas incorrectas en el espacio de cinco minutos.
No hay nada en nuestros honeypots que los haga más tentadores que cualquier otro objetivo. Si tiene computadoras habilitadas para RDP, puede asumir que todas y cada una de ellas están atrayendo un nivel similar de atención de los ataques de adivinación de contraseñas.
En los últimos 15 días de octubre, se activó un bloqueo de BFP de cinco minutos 28 910 veces, por ataques desde 29 direcciones IP distintas. Debido a que se necesitan cinco intentos para activar un bloqueo, el número total de intentos de contraseña contra el sistema trampa durante ese período de prueba fue de 144 550, o alrededor de 10 000 por día. Es probable que esta cifra se vea atenuada considerablemente por la limitación de la tasa; sin ella, los números probablemente habrían sido mucho más altos.
Las cinco direcciones IP que probaron el señuelo con mayor frecuencia durante ese tiempo persistieron durante unos diez días, en turnos superpuestos. Esta similitud en la cantidad de conjeturas diarias que hicieron y el tiempo que dedicaron a hacer conjeturas puede indicar que provienen del mismo atacante que usa varias direcciones IP.
Bloqueos diarios de BFP provocados por los cinco atacantes más persistentes entre el 16 de octubre de 2021 y el 31 de octubre de 2021
RDP normalmente usa el puerto 3389. Dado que es fácil escanear Internet en busca de computadoras que escuchen en el puerto 3389, es bastante común que los consejos de refuerzo de RDP recomienden asignarle un número de puerto diferente.
Los honeypots en esta prueba hacen eso: están conectados usando un puerto del rango de puertos dinámicos , que es poco probable que sea la primera suposición de un hacker. A pesar de eso, los puertos RDP de nuestros honeypots reciben una atención intensa y continua de los programas de adivinación de contraseñas de fuerza bruta.
Según nuestra evaluación, cambiar el número de puerto no proporciona ninguna protección significativa. Es un cambio barato y fácil de hacer, y no hay daño en ello, pero debe buscar en otra parte un endurecimiento genuino.
La limitación de velocidad funciona al reducir la velocidad a la que los atacantes pueden adivinar la contraseña, por lo general, cerrándolos durante un período de tiempo después de una pequeña cantidad de intentos incorrectos. Esto es levemente inconveniente para un usuario real que es poco probable que haga más de un puñado de conjeturas incorrectas antes de llamar al soporte, pero representa una gran barrera para un programa de computadora que busca correr a través de decenas o incluso cientos de miles de intentos de contraseña.
La limitación de velocidad es lo que permite que cosas de enorme importancia, como tarjetas de crédito y teléfonos inteligentes, se aseguren con PIN de cuatro o seis dígitos que, de otro modo, serían triviales de descifrar.
Entonces, ¿cuántas conjeturas evita la limitación de velocidad?
En nuestra prueba, los atacantes quedaron fuera durante cinco minutos si ingresaban cinco contraseñas incorrectas en el espacio de cinco minutos. Nuestros atacantes fueron persistentes durante varios días y recibieron, en promedio, unas 150 prohibiciones por día.
Para desencadenar 150 bloqueos por día, nuestros atacantes deben haber realizado 750 intentos incorrectos e incurrido en 750 minutos de bloqueos, lo que les deja 690 minutos del día para adivinar contraseñas. 750 conjeturas en 690 minutos nos da una tasa de conjetura de aproximadamente una contraseña cada 55 segundos, o alrededor de 1500 conjeturas por día.
A esa tasa de adivinación, la limitación de tasa redujo la cantidad de intentos diarios de contraseña de 1500 a 750, lo que redujo a la mitad la efectividad del ataque y duplicó el tiempo que un equipo de seguridad tendría para reaccionar.
Pero 1500 conjeturas por día es una tasa de conjetura extremadamente baja y un uso muy pobre de los recursos de los atacantes. Otros atacantes son mucho más agresivos en su enfoque.
Hace unos años, fui coautor de un artículo de investigación sobre fuerza bruta RDP . Durante nuestra investigación, monitoreamos a un atacante que realizó 109 934 intentos de contraseña en diez días, a un ritmo de alrededor de 11 000 intentos por día, o alrededor de 7,5 intentos por minuto.
Contra ese atacante, el límite de tasa que usamos para este artículo se habría activado cada 40 segundos, permitiéndoles solo 1,270 intentos por día, reduciendo la tasa de intentos en un 87 %, dando al equipo de seguridad dos meses y medio adicionales para responder . el ataque.
La limitación de velocidad es una técnica poderosa para limitar la efectividad de los ataques de fuerza bruta. Sin embargo, en todas las áreas de seguridad recomendamos un enfoque de defensa en profundidad sobre la dependencia de cualquier herramienta o técnica. Para obtener más información sobre cómo proteger sus conexiones RDP, lea nuestro artículo sobre cómo proteger su acceso RDP de los ataques de ransomware .
Fuente:Malwarebytes