Remote Desktop Protocol

Cara Mendeteksi dan Melindungi saat Remote Desktop Protocol (RDP) terbuka ke Internet

October 24, 2021 by Søren

Para peneliti keamanan siber di Coveware menemukan bahwa 42 persen kasus ransomware di Q2 2021 memanfaatkan RDP Compromise sebagai vektor serangan.

Mereka juga menemukan bahwa “Di Q2, email phishing dan brute force Remote Desktop Protocol (RDP) tetap menjadi metode termurah, paling menguntungkan serta populer bagi pelaku ancaman untuk mendapatkan pijakan awal di dalam jaringan perusahaan.”

Berikut dipaparkan cara untuk mendeteksi dan melindungi Remote Desktop Protocol (RDP) yang terbuka ke Internet :

Mendeteksi akses RDP di log
Login atau serangan RDP akan menghasilkan beberapa log peristiwa di beberapa log peristiwa. Peristiwa ini akan ditemukan pada sistem target yang mencoba atau menyelesaikan sesi RDP, atau direktori aktif yang menangani otentikasi.

Melakukan Threat Hunting
Aktor ancaman dapat menghapus satu atau lebih log sebelum memutuskan sambungan, tetapi untungnya, peristiwa pemutusan akan ada di log yang memungkinkan penyelidik melihat sumber pemutusan RDP.

Remote Desktop Gateway
Merupakan peran yang ditambahkan ke Server Windows yang Anda terbitkan ke internet yang menyediakan akses SSL (RDP terenkripsi melalui port TCP 443 dan UDP 3391) alih-alih protokol RDP melalui port 3389.

Virtual Private Network (VPN)
Organisasi juga harus memantau login VPN untuk upaya akses, dan IP sumber diselesaikan ke negara asal.

Jump Host
Organisasi harus memantau aplikasi jump host dan menerapkan patch secepat mungkin.

Cloud RDP
Pilihan lain adalah menggunakan lingkungan cloud seperti Microsoft Azure untuk meng-host solusi jarak jauh yang menyediakan MFA untuk mengirimkan koneksi tepercaya kembali ke organisasi

Mengubah Port RDP
Dengan mengedit registri Windows, port mendengarkan default dapat dimodifikasi, dan organisasi dapat menerapkan deteksi SIEM untuk menangkap upaya port 3389.

Pembatasan Alamat IP
Organisasi dapat menggunakan alat firewall khusus atau Windows Firewall pada mesin host yang dikelola oleh Kebijakan Grup untuk membatasi koneksi RDP ke alamat IP yang diketahui baik.

Selengkapnya: NCC Group

Sistem Ini Menghadapi Miliaran Serangan Setiap Bulan Karena Peretas Mencoba Menebak Kata Sandi

October 2, 2021 by Søren

Peneliti keamanan siber di ESET mendeteksi 55 miliar upaya baru serangan brute force antara Mei dan Agustus 2021 saja – lebih dari dua kali lipat 27 miliar serangan yang terdeteksi antara Januari dan April.

Dengan berhasil menebak kata sandi dapat memberi penjahat dunia maya rute yang mudah ke jaringan dan jalan yang dapat mereka gunakan untuk meluncurkan serangan lebih lanjut, termasuk mengirimkan ransomware atau malware lainnya.

Setelah berada di jaringan, mereka akan mencoba menggunakan akses tersebut untuk mendapatkan izin tambahan dan memanipulasi jaringan, melakukan tindakan seperti mematikan layanan keamanan sehingga mereka dapat melakukan aktivitas dengan lebih mudah.

Salah satu target paling populer untuk serangan tebak kata sandi brute force adalah layanan RDP. Meningkatnya pekerjaan jarak jauh telah menyebabkan peningkatan kebutuhan orang untuk menggunakan layanan desktop jarak jauh. Banyak di antaranya adalah layanan yang menghadap publik, memberikan peluang bagi penjahat dunia maya untuk membobol jaringan – dan ini adalah peluang yang ingin mereka manfaatkan.

Banyaknya serangan berarti sebagian besar akan diotomatisasi, tetapi jika akun diamankan dengan kata sandi yang mudah ditebak atau umum – dan banyak lagi – maka mereka dapat dengan mudah mengambil penyerang. Setelah kata sandi berhasil dilanggar, kemungkinan penyerang akan mengambil pendekatan yang lebih langsung untuk mencapai tujuan akhir mereka.

“Dengan jumlah serangan yang mencapai miliaran, ini tidak mungkin dilakukan secara manual – jadi upaya serangan ini dilakukan secara otomatis. Tentu saja, selalu ada aspek manual ketika penjahat dunia maya menyiapkan atau menyesuaikan infrastruktur serangan dan menentukan jenis target apa. berada di garis bidik mereka,” Ondrej Kubovi, spesialis kesadaran keamanan di ESET, mengatakan kepada ZDNet.

Selengkapnya: ZDNet

Harga password remote login yang dicuri menurun. Itu pertanda buruk

September 29, 2020 by Winnie the Pooh

Penjahat siber menurunkan harga yang mereka berikan untuk akses ke jaringan perusahaan.

Protokol desktop jarak jauh (RDP) memungkinkan karyawan untuk terhubung ke server organisasi mereka dari jarak jauh. RDP juga secara teratur digunakan oleh akun administrator, memungkinkan TI dan tim keamanan untuk melakukan pembaruan dan memberikan bantuan kepada pengguna.

Namun, meskipun sangat berguna, akun atau server RDP yang tidak diamankan dengan benar dapat memberi penjahat siber akses mudah ke jaringan perusahaan dengan kata sandi yang dicuri atau mudah dibobol.

Peneliti cybersecurity di Armor menganalisis 15 pasar darkweb yang berbeda dan forum kriminal cyber bawah tanah dan menemukan bahwa harga rata-rata untuk kredensial RDP telah turun menjadi antara $16 dan $25, dibandingkan dengan rata-rata lebih dari $20 selama 2019. Beberapa vendor darkweb mengiklankan kredensial ini sebagai “non-hacked”, mengklaim bahwa mereka belum pernah digunakan sebelumnya.

Penyerang yang membeli kredensial dapat menggunakan detail login untuk apa pun mulai dari melakukan pengintaian jaringan, hingga menggunakannya sebagai gateway untuk mencuri nama pengguna dan sandi tambahan, informasi rahasia, atau kekayaan intelektual. Mereka juga dapat menggunakan kredensial RDP sebagai tahap pertama serangan malware atau ransomware besar terhadap organisasi.

Dan cara turunnya biaya kredensial RDP menunjukkan bahwa masalahnya semakin parah, yang menyiratkan bahwa harga menurun karena pasar bawah tanah jenuh dengan detail login yang semakin banyak.

“Setiap kali akses yang digunakan untuk membobol organisasi menjadi lebih murah – dalam hal ini kredensial RDP – ini meningkatkan ancaman bagi bisnis karena ada harga yang lebih rendah untuk masuk bagi penipu,” kata Chris Stouff, CSO Armor kepada ZDNet.

Baca berita selengkapnya pada tautan di bawah ini;
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Remote Desktop Protocol

Cookies Settings