Meet and use next generation technologies in advance.

RDP Atakları Nedir: Nasıl Korunur?

Uzak Masaüstü Protokolü (RDP), herhangi bir işletim sistemi (OS) çalıştıran cihazların uzaktan bağlanmasına olanak tanıyan Microsoft’un tescilli iletişim protokolüdür. BT yöneticileri, çalışanların sorunlarını uzaktan teşhis etmek ve kurumsal kaynaklara erişimlerini sağlamak için RDP’yi kullanabilir. Tescilli olmasına rağmen bazı RDP özellikleri açıktır ve gerektiğinde protokolün işlevselliğini genişletmek ve kurumsal gereksinimleri karşılamak için herkes bunları kullanabilir.

Geçtiğimiz birkaç yıl içinde, RDP saldırıları (sistemlere saldırmak için RDP’nin güvenlik açıklarından yararlanan saldırılar), tehdit aktörlerinin birçok kuruluştaki ağlara fidye yazılımı yüklemek için açık portlardan yararlanmasıyla önemli ölçüde artmıştır. Uzaktan ve hibrit iş yerlerindeki büyük artış göz önüne alındığında bu şaşırtıcı değil.

Uzak Masaüstü Protokolü Nasıl Çalışır?

Uzak Masaüstü Protokolü (Remote Desktop Protocol), temel olarak, farklı bir makinede oturan bir kullanıcı tarafından iletilen tüm komutlar, uzaktan masaüstü bilgisayara aktarılır. RDP protokolü, bağlı makineler arasında veri gönderen özel bir ağ kanalı başlatır. Bağlantı kurmak için ağ bağlantı noktası (port) 3389 kullanılır.

Fare veya klavye aracılığıyla bir komut gönderildiğinde veya bu konuda başka herhangi bir önemli veri gönderildiğinde, TCP/IP aracılığıyla gönderilir. TCP/IP çoğu

İnternet trafiği için kullanılan taşıma protokolüdür. Öte yandan, RDP verileri şifreler ve internet üzerindeki bağlantılara ek güvenlik sağlar.

Verdiğiniz tüm komutlar şifrelenerek gönderilmelidir. Bu işlem birkaç milisaniye sürebilir ya da bazen uzun sürebilir. Örneğin, bir kullanıcı iseniz ve bir uygulamaya çift tıklarsanız, komutu verdiğiniz anda çift tıklama gerçekleşmeyebilir.

Bunun nedeni, bazen eylemin seçtiğiniz masaüstüne aktarılmasının gecikmesidir. Ayrıca, RDP sadece erişilebilirlik ve kullanım kolaylığı ile ilgili değildir, aynı zamanda önemli başka faydaları da vardır.

1.     Hız

Gördüğünüz gibi, fiziksel müdahale yok bu yüzden çok zaman kazanıyorsunuz. Uzak Masaüstü, yalnızca başkalarının değil, kendi cihazlarınızın sorunlarınıda saniyeler içinde gidermenize yardımcı olur.

2.     Esneklik

Dünyanın herhangi bir yerinde oturabilir ve işinizi teslim edebilirsiniz. Rahat rahat, işinizle ilgili hedeflere ulaşabilirsiniz.

3.     Tasarruf

Uzak Masaüstü size birçok maliyet düşürücü faktör sunar. Örneğin, seyahat masrafı yok. BYOD (bring your own device), yani kendi cihazını getir temelinde çalışır. Bu nedenle ofis ihtiyaçlarına ihtiyaç duymazsınız. Verimliliği ve üretkenliği artırır.

Saldırı Aşamaları – Süreç

Kuruluşun RDP saldırılarından nasıl korunacağını anlamak için böyle bir saldırının nasıl ortaya çıkabileceğini anlamak çok önemlidir.

Kuruluşunuzun bir kurumsal ağa bağlı yüzlerce hatta binlerce cihazla dağıtıldığını varsayalım. Tipik bir RDP saldırısı, aşağıdaki aşamalar yoluyla kurumun ağını tehlikeye atabilir:

1.  İzinsiz Giriş

Bu aşamada, saldırganlar 3389 numaralı bağlantı noktasını tarayarak ağa nasıl sızacaklarını bulmaya başlarlar. Ağa bağlı aktif cihazlardan herhangi birinin RDP portu açıksa, bu cihaz ağa bir giriş noktası görevi görür. Çoğu aktif cihazın büyük miktarda RDP bağlantısına maruz kalacağı düşünüldüğünde herhangi bir tehdit aktörü, bir güvenlik aracı tarafından işaretlenmeden bu bağlantı noktası üzerinden ağa şu şekillerde girebilir:

  1. Kaba Kuvvet: Saldırgan bir kullanıcı adına sahipse, sözlük saldırıları veya yaygın olarak kullanılan parolaların listeleri gibi farklı parolalarla birden fazla oturum açma denemesi
  2. Oltalama: Bir kullanıcıya, sözde yöneticiden gelen ve oturum açıp parola değiştirme gibi bir eylem gerçekleştirmesini isteyen bir e-posta gönderilir ancak bağlantı, saldırgan tarafından kontrol edilen ve kullanıcının giriş bilgilerini ortaya çıkaran bir proxy’ye yöneliktir.
  3. Sosyal Mühendislik: Bu, kullanıcının sosyal eğilimlerinden faydalanarak parolasını teslim etmesi için onu kandırır. Bir iş arkadaşının e-posta hesabına erişim sağlamak ve kurbana e-posta göndererek acil bir durum için giriş bilgilerini istemek buna bir örnektir. Güvene dayalı ilişki ve aciliyet duygusu, kullanıcıların en iyi güvenlik uygulamalarını düşünmeden hızlı bir şekilde yanıt vermesine neden

2.  Dahili Keşif

Saldırgan kimlik doğrulamasını atlatıp ağa erişim sağladıktan sonra hesabın ayrıcalıklarını bulmak ve saldırıyı nasıl artırabileceğini görmek için keşif yapacaktır. İlk ele geçirmeden sonra, bir saldırgan sızmayı artırmak için cihazın kendi alt ağıyla birlikte tüm ağı taramaya başlayabilir. Örneğin, saldırgan Dağıtılmış Bilgi İşlem Ortamı (DCE) / Uzak Prosedür Çağrıları (RPC) üzerinden birden fazla uç noktaya Windows Yönetim Araçları (WMI) bağlantıları başlatabilir ve saldırıları tetiklemeye başlayabilir.

3.  Komut ve Kontrol

Bir saldırganın ağ erişimi istemesinin nedenleri çeşitlilik gösterse de üç noktada toplanır: veri sızdırma, kötü amaçlı yazılım dağıtma veya saldırı arttırma. Saldırgan keşif ve hazırlıklarını tamamladıktan sonra, bu üçünden birini gerçekleştirmek için diğer uç noktalara ve ağlara komutlar göndermeye çalışır ve bunu güvenliği ihlal edilmiş cihaz aracılığıyla gerçekleştirir. Örneğin, yeni RDP bağlantıları oluşturmak

için yönetici kimlik doğrulama çerezlerini kullanarak, ele geçirilmiş makine üzerinden standart olmayan bağlantı noktaları (non-standard ports) açabilir.

4.  Yanal hareket

Bu aşamada saldırgan, hassas verileri ve diğer yüksek değerli kaynakları almak için daha fazla ayrıcalık elde ederek kurumun ağında daha derinlere iner. Örneğin,

PsExec ve svcctl gibi Windows yönetim araçlarından (WMI) yararlanabilir ve kuruluşun güvenlik sistem tespitinden kaçarken ağ içinde yanal olarak hareket edebilirler.

RDP’nin Güvenliği Nasıl Sağlanır?

Neyse ki, kuruluşları için RDP’yi nasıl güvenli hale getireceklerini düşünenlerin, uygulayabilecekleri çeşitli önlemler vardır.

Çok Faktörlü Kimlik Doğrulama (MFA)

Saldırganlar için birincil erişim yolu kimlik doğrulama olduğundan bu önlem, birincil odak noktası olmalıdır. Yalnızca kullanıcı adı ve parola gerektiren kimlik doğrulama temelde hiçbir koruma sağlamaz ve saldırganlar bu tür kimlik doğrulamaya dayanan sistemleri aktif olarak ararlar. Bu güvenlik açığını azaltmak için RDP’yi nasıl güvenli hale getireceğini düşünen her kuruluş, en azından çok faktörlü kimlik doğrulama kullanmalıdır. MFA, kullanıcıları bildikleri bir şeye (parola, PIN) ek olarak veya onun yerine sahip oldukları bir şeyi (OTP, cihaz, güvenlik anahtarı) veya oldukları bir şeyi (yüz taraması, parmak izi) sağlamaya zorlar.

Ağ düzeyinde kimlik doğrulama (NLA)

Her zaman etkinleştirin. Her sistemde olduğu gibi kullanıcılar bir uzak masaüstü oturumu başlatmadan önce her zaman kimliklerini doğrulamalıdır. Bu nedenle, yalnızca aktarım katmanı güvenliği (TLS) protokolü üzerinden NLA ile RDP çalıştıran uç noktalardan gelen bağlantılara izin vermelisiniz.

Rol Tabanlı Erişim Kontrolü (RBAC)

Bu, kullanıcılara tamamen bilmesi gerekenler temelinde verilere erişim sağlar ve teorik olarak bir kimlik doğrulama ihlalinin bir saldırgana geniş ağ erişimi vermesini önler ancak kullanıcı rolleri ve ihtiyaçları değiştikçe erişim kontrolünün uygulanması ve izlenmesinde önemli zorluklar yaşanabilir ve bu da ayrıcalıkların sürekli olarak atanmasını ve iptal edilmesini gerektirir.

Yama Yönetimi

RDP’nin son yirmi yıla dayanan ve aralarında birkaç büyük kusur bulunan birden fazla sürümü vardır. Bu nedenle, saldırganlar hala savunmasız sürümleri kullanan sistemleri kolayca bulabileceğinden, kuruluşlar sürümlerini yamalı ve güncel tutmalıdır.

Doğru Port Yapılandırmasının Sağlanması

Genel olarak bir şeyleri gizlemek (veya şaşırtmak) uygun bir güvenlik yöntemi değildir ancak RDP üzerinden bağlanmak için kullanılan bağlantı noktası numarasını değiştirerek bilgisayar korsanlarının önüne birden fazla koruma katmanı ekleyebilirsiniz.

Uzak Masaüstü Protokolü (RDP) için varsayılan ve standart bağlantı noktası 3389’dur. Bu, hem BT Uzmanları hem de Hackerlar tarafından sektör genelinde iyi bilinmektedir.

Bu size ve patronunuza bilgisayar korsanlarının sisteminize erişemeyeceği konusunda daha iyi bir his vermeye yardımcı olsa da bunun gerçekten güvenlik olmadığını bildiğinizden emin olun. Port numarasını gizlemek sadece RDP uç noktasını görünürde gizler. Birçok bilgisayar korsanı muhtemelen bağlantı noktası tarayıcıları kullanacak ve harici bağlantılar için hangi bağlantı noktalarının açık olduğunu keşfedebilecektir. Açık portların listesine sahip olduklarında, kullanılan standart olmayan port numarasının RDP bağlantısını gerçekten açığa çıkardığını anlamaları sadece bir zaman meselesi olabilir.

Asla yalnızca RDP bağlantı noktası numarasını gizlemeye güvenmeyin. Yine de, RDP uç noktasını ilk etapta keşfetmeyi daha zor hale getirmek için diğer tekniklere ek olarak kullanılabilir.

Bazı kullanım durumlarında hassas verilerin internet veya ağ bağlantısı üzerinden aktarılması sırasında güvenlik zafiyetine karşı her zaman dikkatli olunması gerekse de, RDP güvenliğinden emin olduğunuz müddetçe verimliliğinizi ve konforunuzu artırır. Dahası, protokolle birlikte tasarruf, esneklik ve daha iyi bir çalışma ortamı gibi avantajlar da gelir. İşinizi geliştirmek için uzak masaüstü teknolojisini ekleyebilir ve bununla ilişkili tüm avantajlardan yararlanabilirsiniz.

Yazar: BBS Teknoloji Red Team Samet GÖZET

Table of Contents

Discover more from BBS Teknoloji - For A Safer World!

Subscribe now to keep reading and get access to the full archive.

Continue reading