RDP

Windows 11 Sekarang Memblokir Serangan Brute-force RDP Secara Default

July 23, 2022 by Eevee

Build Windows 11 terbaru hadir dengan kebijakan Kebijakan Penguncian Akun yang diaktifkan secara default yang secara otomatis akan mengunci akun pengguna (termasuk akun Administrator) setelah 10 upaya masuk yang gagal selama 10 menit.

Proses brute-force akun biasanya membutuhkan menebak kata sandi menggunakan alat otomatis. Taktik ini sekarang diblokir secara default pada versi Windows 11 terbaru (Pratinjau Orang Dalam 22528.1000 dan yang lebih baru) setelah gagal memasukkan kata sandi yang benar 10 kali berturut-turut.

“Win11 build sekarang memiliki kebijakan penguncian akun DEFAULT untuk mengurangi RDP dan vektor kata sandi brute force lainnya,” David Weston, VP Microsoft untuk Perusahaan dan Keamanan OS, tweeted Kamis.

“Teknik ini sangat umum digunakan dalam Ransomware yang Dioperasikan Manusia dan serangan lainnya – kontrol ini akan membuat brute-force jauh lebih sulit yang luar biasa!”

Kebijakan Penguncian Akun juga tersedia di sistem Windows 10. Namun, sayangnya, itu tidak diaktifkan secara default, memungkinkan penyerang untuk memaksa masuk ke sistem Windows dengan layanan Remote Desktop Protocol (RDP) yang terbuka.

Admin dapat mengonfigurasi kebijakan ini di Windows 10 di Konsol Manajemen Kebijakan Grup dari Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Account Lockout Policy.

Ini adalah peningkatan keamanan yang penting karena banyak server RDP, terutama yang digunakan untuk membantu pekerja jarak jauh mengakses aset perusahaan, secara langsung terpapar ke Internet, membuat jaringan organisasi terkena serangan ketika dikonfigurasi dengan buruk.

Untuk menempatkan segala sesuatunya dalam perspektif, serangan yang menargetkan layanan RDP telah mengalami peningkatan tajam setidaknya sejak pertengahan akhir 2016, dimulai dengan meningkatnya popularitas pasar web gelap yang menjual akses RDP ke jaringan yang disusupi, menurut laporan FBI IC3 dari 2018.

Satu catatan penting adalah UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri pada satu titik, yang membocorkan nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan secara historis dikompromikan.

Sumber: BleepingComputer

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

December 2, 2021 by Eevee

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Login untuk 1,3 juta server Windows RDP dikumpulkan dari pasar peretas

April 22, 2021 by Winnie the Pooh

Nama login dan kata sandi untuk 1,3 juta server Windows Remote Desktop saat ini dan yang secara historis dikompromikan telah dibocorkan oleh UAS, pasar peretas terbesar untuk kredensial RDP yang dicuri.

Dengan kebocoran besar-besaran kredensial akses jarak jauh yang disusupi ini, para peneliti, untuk pertama kalinya, melihat sekilas ekonomi kejahatan dunia maya yang ramai dan dapat menggunakan data tersebut untuk mengakhiri serangan siber sebelumnya.

Admin jaringan juga akan mendapatkan keuntungan dari layanan baru yang diluncurkan oleh perusahaan keamanan siber Advanced Intel yang disebut RDPwned yang memungkinkan organisasi untuk memeriksa apakah kredensial RDP mereka telah dijual di pasar.

UAS, atau ‘Ultimate Anonymity Services,’ adalah pasar yang menjual kredensial masuk Windows Remote Desktop, Nomor Jaminan Sosial yang dicuri, dan akses ke server proxy SOCKS.

Apa yang membuat UAS menonjol adalah bahwa ini adalah pasar terbesar, melakukan verifikasi manual kredensial akun RDP yang dijual, menawarkan dukungan pelanggan, dan memberikan tip tentang cara mempertahankan akses jarak jauh ke komputer yang disusupi.

Sejak Desember 2018, sekelompok peneliti keamanan memiliki akses rahasia ke database untuk pasar UAS dan diam-diam telah mengumpulkan kredensial RDP yang dijual selama hampir tiga tahun.

Database ini telah dibagikan dengan Advanced Intel’s Vitali Kremez, yang juga membagikan salinan yang telah disunting dengan BleepingComputer untuk ditinjau.

Setelah ditinaju, server RDP yang terdaftar berasal dari seluruh dunia, termasuk lembaga pemerintah dari enam puluh tiga negara, dengan Brasil, India, dan Amerika Serikat menjadi tiga teratas.

Vitali Kremez telah meluncurkan layanan baru bernama RDPwned yang memungkinkan perusahaan dan admin mereka untuk memeriksa apakah server mereka terdaftar dalam database.

Selengkapnya: Bleeping Computer

Para peretas ini menjual login jaringan ke penawar tertinggi. Dan geng ransomware membelinya

February 24, 2021 by Winnie the Pooh Leave a Comment

Kelas penjahat siber yang sedang berkembang memainkan peran penting di pasar bawah tanah dengan melanggar jaringan perusahaan dan menjual akses ke penawar tertinggi untuk dieksploitasi sesuka mereka.

Pembelian dan penjualan kredensial login yang dicuri dan bentuk akses jarak jauh lainnya ke jaringan telah lama menjadi bagian dari ekosistem dark web, tetapi menurut analisis para peneliti keamanan siber di Digital Shadows, terdapat peningkatan penting dalam daftar oleh ‘Initial Access Brokers’ selama setahun terakhir.

Broker ini bekerja untuk meretas jaringan tetapi alih-alih menghasilkan keuntungan dengan melakukan kampanye siber mereka sendiri, mereka akan bertindak sebagai perantara, menjual jalan masuk ke jaringan ke penjahat lain, menghasilkan uang dari penjualan.

Akses melalui Remote Desktop Protocol (RDP) adalah daftar yang paling dicari oleh penjahat siber. Permintaan ini – dan potensi akses yang ditawarkannya – tercermin dalam harga daftar, dengan harga jual rata-rata untuk akses mulai dari $ 9.765.

Metode akses ini sangat populer di kalangan geng ransomware, yang berpotensi mendapatkan kembali apa yang mereka bayarkan untuk akses berkali-kali lipat dengan mengeluarkan tuntutan tebusan ratusan ribu atau bahkan jutaan dolar: $ 10.000 untuk akses awal hampir tidak berharga, jika target bisa diperas untuk membayar tebusan bitcoin.

Selengkapnya: ZDNet

Server Windows RDP sedang disalahgunakan untuk memperkuat serangan DDoS

January 22, 2021 by Winnie the Pooh

Geng kejahatan siber menyalahgunakan sistem Windows Remote Desktop Protocol (RDP) untuk memantul dan memperkuat junk traffic sebagai bagian dari serangan DDoS, kata perusahaan keamanan Netscout dalam sebuah peringatan pada hari Selasa.

Tidak semua server RDP dapat disalahgunakan, tetapi hanya sistem di mana autentikasi RDP juga diaktifkan pada port UDP 3389 di atas port standar TCP 3389.

Netscout mengatakan bahwa penyerang dapat mengirim paket UDP yang cacat ke port UDP dari server RDP yang akan direfleksikan ke target serangan DDoS, yang diperbesar ukurannya, mengakibatkan lalu lintas junk traffic mengenai sistem target.

Inilah yang oleh peneliti keamanan disebut sebagai faktor amplifikasi DDoS, dan ini memungkinkan penyerang dengan akses ke sumber daya terbatas untuk meluncurkan serangan DDoS skala besar dengan memperkuat junk traffic dengan bantuan sistem yang terpapar internet.

Netscout mengatakan bahwa pelaku ancaman juga telah mempelajari vektor baru ini, yang sekarang banyak disalahgunakan.

Netscout sekarang meminta administrator sistem yang menjalankan server RDP yang terpapar di internet untuk menjadikannya offline, mengalihkannya ke port TCP yang setara, atau meletakkan server RDP di belakang VPN untuk membatasi siapa yang dapat berinteraksi dengan sistem yang rentan.

Sumber: ZDNet

Harga password remote login yang dicuri menurun. Itu pertanda buruk

September 29, 2020 by Winnie the Pooh

Penjahat siber menurunkan harga yang mereka berikan untuk akses ke jaringan perusahaan.

Protokol desktop jarak jauh (RDP) memungkinkan karyawan untuk terhubung ke server organisasi mereka dari jarak jauh. RDP juga secara teratur digunakan oleh akun administrator, memungkinkan TI dan tim keamanan untuk melakukan pembaruan dan memberikan bantuan kepada pengguna.

Namun, meskipun sangat berguna, akun atau server RDP yang tidak diamankan dengan benar dapat memberi penjahat siber akses mudah ke jaringan perusahaan dengan kata sandi yang dicuri atau mudah dibobol.

Peneliti cybersecurity di Armor menganalisis 15 pasar darkweb yang berbeda dan forum kriminal cyber bawah tanah dan menemukan bahwa harga rata-rata untuk kredensial RDP telah turun menjadi antara $16 dan $25, dibandingkan dengan rata-rata lebih dari $20 selama 2019. Beberapa vendor darkweb mengiklankan kredensial ini sebagai “non-hacked”, mengklaim bahwa mereka belum pernah digunakan sebelumnya.

Penyerang yang membeli kredensial dapat menggunakan detail login untuk apa pun mulai dari melakukan pengintaian jaringan, hingga menggunakannya sebagai gateway untuk mencuri nama pengguna dan sandi tambahan, informasi rahasia, atau kekayaan intelektual. Mereka juga dapat menggunakan kredensial RDP sebagai tahap pertama serangan malware atau ransomware besar terhadap organisasi.

Dan cara turunnya biaya kredensial RDP menunjukkan bahwa masalahnya semakin parah, yang menyiratkan bahwa harga menurun karena pasar bawah tanah jenuh dengan detail login yang semakin banyak.

“Setiap kali akses yang digunakan untuk membobol organisasi menjadi lebih murah – dalam hal ini kredensial RDP – ini meningkatkan ancaman bagi bisnis karena ada harga yang lebih rendah untuk masuk bagi penipu,” kata Chris Stouff, CSO Armor kepada ZDNet.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Bleeping Computer: Windows Remote Desktop Services Used for Fileless Malware Attacks

December 25, 2019 by Winnie the Pooh

Pelaku ancaman yang melanggar jaringan perusahaan menyebarkan sejumlah malware lewat protokol desktop jarak jauh (remote desktop protocol / RDP), tanpa meninggalkan jejak pada host target. Penambang Cryptocurrency, info-stealers, dan ransomware dieksekusi dalam RAM menggunakan koneksi jarak jauh, yang juga berfungsi untuk mengelupas informasi berguna dari mesin yang dikompromikan.

Para penyerang memanfaatkan fitur di Windows Remote Desktop Services yang memungkinkan klien untuk membagikan drive lokal ke Server Terminal dengan izin baca dan tulis.

Baca lebih lanjut tentang serangan ini pada link dibawah ini.

Source: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

RDP

Cookies Settings