سرویس Remote Exploit چیست؟
یک سرویس Remote Exploit یا اکسپلویت اجرا شده از راه دور تکنیکی است که به عوامل مخرب اجازه می دهد با استفاده از یک آسیب پذیری (مانند یک خطای برنامه نویسی) یا یک حساب معتبر، به سیستم های داخلی شبکه دسترسی غیرمجاز پیدا کند. هنگامی که یک کانکشن ریموت با هدف Lateral Movement یا حرکت جانبی به آن سیستم ایجاد می شود، مهاجم ممکن است کد کنترل شده توسط عامل مخرب را اجرا کند.
برای شناسایی سیستمهای آسیبپذیر، مهاجمان معمولاً از یک یا چند تکنیک اکتشاف آسیب پذیری ، مانند اسکن سرویس شبکه برای جستجوی نرمافزارها با پچ های قدیمی ، استفاده میکنند.
باج افزارها و بدافزارهای رایج مانند Ryuk، WannaCry و NotPeya حاوی ویژگی هایی هستند که از اکسپلویت های شناخته شده برای اجرای کد در شبکه استفاده می کنند که در نهایت منجر به Lateral Movement و propagationمی شود.
پروتکل ریموت دسکتاپ (RDP) یک هدف رایج برای سرویسهای ریموت است و به راحتی می توان دریافت که چرا در محیط های سازمانی رایج است. زیرا پروتکل RDP دسترسی ریموت به یک دستگاه ویندوزی را فراهم و اعتبارنامه های هک شده را در حافظه به جا می گذارد.
معمولا ، عامل تهدید نیاز دارد وضعیت آسیبپذیری سیستم ریموت را بداند. بنابراین می تواند از طریق Network Service Discovery یا سایر روشهای اکتشاف ، نرمافزار آسیبپذیری که ممکن است در شبکه مستقر شده باشد را بیابد. اغلب فقدان پچ های خاصی می تواند نشانه خوبی برای پیدا کردن نرم افزار مورد نظر باشد.
سرورها احتمالاً یک هدف با ارزش برای اکسپلویت Lateral Movement هستند، اما سیستم های نقطه پایانی نیز در صورت ایجاد مزیت یا دسترسی به منابع اضافی می توانند در معرض خطر قرار گیرند.
بسته به سطح مجوزهای سرویس راه دور آسیبپذیر، دشمن ممکن است به بهرهبرداری برای افزایش امتیاز در نتیجه بهرهبرداری از حرکت جانبی نیز دست یابد.
راههای حفاظت در برابر سرویس های ریموت اکسپلویت
برای پیشگیری از اکسپلویت های پرهزینه، اولین خط دفاعی سازمانها باید ایمن سازی نقاط دسترسی آسیب پذیر باشد. ایمن سازی دسترسی ها را با بهروزرسانی منظم نرمافزارها شروع کنید و برنامههای وب بلااستفاده را غیرفعال و حذف کنید. ایزوله کردن برنامه، سندباکسینگ و network segmentation می تواند از حرکت جانبی جلوگیری کند و دسترسی های غیرمجاز را به سیستم ها و خدمات خاص کاهش دهد.
پروتکل های ریموت دسترسی مانند RDP باید در صورت امکان غیرفعال شوند. اقداماتی وجود دارد که سازمانها میتوانند برای کاهش ریسک انجام دهند، مانند پیادهسازی و بازبینی منظم روشهای احراز هویت و اعمال سیاستهایی برای ایجاد اعتبار امن و احراز هویت چندعاملی.
تیمهای امنیتی پیشرفته همچنین باید از یک رویکرد فعال مانند برنامه هوش تهدید برای شناسایی کانکشنهای خارجی به دامنهها یا نقاط پایانی مشکوک و کاهش هرگونه اتصال از راه دور مخرب به سازمان استفاده کنند. ابزارهای تشخیص همچنین میتوانند در جستجوی رخنههایی که بر نقاط پایانی و شبکه تأثیر میگذارند مفید باشند. ترکیبی از تشخیص و پاسخ شبکه (NDR) و تشخیص و پاسخ نقطه پایانی (EDR) میتواند برای شناسایی نشتها و حرکات جانبی در یک شبکه استفاده شود.
شناسایی حملات اکسپلویت از راه دور را می توان با استفاده از رمزگشایی افزایش داد. اکسپلویت سرویس از راه دور می تواند در طیف گسترده ای از سرویس ها، چه داخلی و چه عمومی و بر روی انواع پروتکل ها مانند HTTP، MS-RPC، SMBv3 و موارد دیگر رخ دهد. به همین دلیل، بسیار مهم است که ابزارهای امنیتی دارای قابلیت رمزگشایی برای همه پروتکل های صنعتی رمزگذاری شده معمول مانند پروتکل های TLS و مایکروسافت مانند Kerberos، MS-RPC، SMBv3 و غیره باشند.