תוכנת גישה מרחוק הייתה כלי פופולרי עבור מנהלי IT, ספקי שירותים מנוהלים (MSP), חברות SaaS ואחרות במשך שנים רבות. הוא מציע דרך שלא יסולא בפז לנהל ולנטר מרחוק מספר נקודות קצה של IT ו-OT ממיקום מרכזי אחד. אבל באותה מידה, הם מספקים דרך רבת עוצמה עבור גורמי איומים לעקוף הגנות ארגוניות ולגשת מרחוק לרשתות קורבנות.
בין אם מדובר בכלי גישה מרחוק (RAT), מוצרי ניטור וניהול מרחוק (RMM) או פתרונות ניהול מרחוק, הסיכון זהה. הגיע הזמן לסגור דלת אחורית שעלולה להיות מסוכנת לסביבות IT ארגוניות.
מה הם RATs?
כלים כמו Atera, AnyDesk, ConnectWise ו-TeamViewer ידועים בקהילת ה-IT. למרות שהם שימשו במשך שנים כדי לעזור למנהלי מערכת בפתרון בעיות, להגדיר ולהגדיר מכונות, לתקן נקודות קצה ועוד, RATs באמת הגיעו לידי ביטוי במהלך המגיפה. עם זאת, כשם שההתקפות על כלי שולחן עבודה מרוחקים התגברו במהלך אותה תקופה, ראינו גם עניין גובר בתוכנת גישה מרחוק כדרך לעקוף כלי אבטחה.
הם אפילו נפרסו בהתקפות המכוונות ליחידים, כאשר הקורבן מתוכנן באופן חברתי להוריד אחד למחשב האישי או למכשיר הנייד שלהם כדי לספק לרמאי גישה לחשבונות הבנקים שלו ואחרים. זה קורה לעתים קרובות בהונאות תמיכה טכנית, ולאחרונה, בהונאות מתוחכמת קמפיין התחזות ממשלתי נועד לגנוב את פרטי הכרטיס של הקורבנות.
מדוע RATs אטרקטיביים?
לא צריך להפתיע ששחקני איומים מכוונים לכלים כאלה במספר רב יותר. הם מציעים דרך שימושית להתמזג עם כלי עבודה ותהליכים לגיטימיים, באופן דומה לזה חיים מהתקפות האדמה (LOTL). מכיוון שתוכנת גישה מרחוק חתומה עם אישורים מהימנים, היא לא תיחסם על ידי כלי נגד תוכנות זדוניות או זיהוי ותגובה של נקודות קצה (EDR). יתרונות נוספים עבור יריבים כוללים את העובדה שתוכנת גישה מרחוק:
- עשויים להיות בעלי הרשאות גבוהות, מה שמקל על גישה ראשונית, התמדה, תנועה לרוחב, גישה למשאבים רגישים וחילוץ נתונים
- מאפשר לשחקני איומים לבצע פריצות ללא צורך להשקיע זמן וכסף בפיתוח תוכנות זדוניות כמו סוסים טרויאניים בגישה מרחוק (מקצרים גם "RATs"), שכלי אבטחה עשויים לזהות
- מאפשר ליריבים לעקוף את מדיניות בקרת ניהול התוכנה ואולי אפילו להפעיל תוכנה לא מאושרת על המחשב הממוקד
- משתמש בהצפנה מקצה לקצה, המאפשר לתוקפים להוריד קבצים שחומות אש ארגוניות היו עוצרות
- יכול לתמוך במספר התקפות בו-זמנית, למשל, באמצעות MSP שנפגע
כיצד יריבים מכוונים לגישה מרחוק
על פי הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA), גורמי איומים עשויים לנצל גרסאות פגיעות של תוכנות גישה מרחוק או להשתמש בחשבונות לגיטימיים שנפרצו כדי לחטוף את השימוש בכלים. לחלופין, הם יכולים להנדס קורבנות באופן חברתי להוריד תוכנת RMM לגיטימית או דומה. בהתקפות מתוחכמות יותר, הם עלולים לכוון לספק תוכנה לגישה מרחוק ולתפעל את התוכנה שלו עם עדכונים זדוניים. הם עשויים גם להשתמש ב-PowerShell או בכלי שורת פקודה לגיטימיים אחרים כדי לפרוס בחשאי סוכן RMM במחשב של הקורבן.
לפעמים, גורמי איומים משתמשים גם בתוכנת גישה מרחוק בשילוב עם כלי בדיקת חדירה כמו Cobalt Strike או אפילו תוכנות זדוניות בגישה מרחוק כדי להבטיח התמדה. ברגע שיש להם גישה לרשת/מחשב יעד, הם יכולים להשתמש בתוכנת גישה מרחוק כדי:
- עברו לרוחב דרך הרשת של הקורבן
- מצא רשימות של מערכות אחרות לתנועה צידית
- הקמת ערוצי פיקוד ובקרה (C2).
טכניקות כאלה נמצאות בשימוש הן על ידי קבוצות של פשעי סייבר והן על ידי פעילי מדינות לאום עבור פעולות מתוחכמות של גניבת מידע והתקפות תוכנות כופר. הם נתפסו כשהם מכוונים לעובדי ממשלת ארה"ב בהונאות על רקע כלכלי. לספק אבטחה אחד יש גם הזהיר על השימוש ה"מופרז" ב-RATs שאינם ארגוניים בסביבות OT, שבסופו של דבר מרחיב את משטח ההתקפה של הארגונים.
המחקר שלה מגלה של-79% מהחברות יש יותר משני כלים כאלה מותקנים על התקני רשת OT. מכיוון שלאלה חסרים מספיק בקרות גישה ותכונות כגון אימות רב-גורמי (MFA), הם חשופים לחטיפה על ידי גורמי איומים.
בטבע
ישנן דוגמאות רבות להפרות מבוססות RAT עם השלכות חמורות במהלך השנים האחרונות. הם כוללים:
- בפברואר 2024, נקודות תורפה בתוכנת ScreenConnect ללא תיקון נוצלו במספר ארגונים כדי לפרוס תוכנות זדוניות על שרתים ותחנות עבודה עם תוכנת הגישה מרחוק מותקנת.
- בפברואר 2022, CISA והמרכז הלאומי לאבטחת סייבר (NCSC) של בריטניה הזהירו מפני קמפיין של קבוצת ה-APT האיראנית MuddyWater שאולי היו לו גם ריגול סייבר וגם מניעים פיננסיים. שחקני האיום השתמשו ב-ScreenConnect לגישה ראשונית ותנועה לרוחב.
- בינואר 2023, CISA הזהיר של קמפיין באמצעות ScreenConnect ו-AnyDesk כדי לבצע "הונאת החזר כספי" על עובדי ממשל פדרלי. הקמפיין השתמש בטכניקות דיוג כדי לשכנע את הקורבנות להוריד את התוכנה כקובצי הפעלה עצמאיים וניידים, מה שאיפשר להם לעקוף את בקרות האבטחה.
- ביולי 2024, א ספק אבטחה התגלה גרסה שונה של כלי הקוד הפתוח RMM PuTTY (ששמו "KiTTY") שיכול לעקוף את בקרות האבטחה. הטקטיקה אפשרה לשחקני האיום ליצור מנהרות הפוכות מעל יציאה 443 כדי לחשוף שרתים פנימיים לקופסת AWS EC2 בשליטתם כדי לגנוב קבצים רגישים.
כיצד לצמצם התקפות גישה מרחוק
CISA מפרטת מגוון של בקרות מבוססות מארחים ורשתות והמלצות מדיניות/ארכיטקטורות שיכולות לסייע בבניית חוסן מפני התקפות כאלה. אלה כוללים:
- הדרכת מודעות דיוג לעובדים
- אפס אמון וגישות לפחות פריבילגיה לאבטחת זהות ונקודות קצה
- ניטור SecOps לאיתור פעילות חשודה
- ניהול משטח תקיפה חיצוני (EASM) לשיפור הנראות לנכסים לא ידועים ולא מנוהלים
- אימות רב-גורמי (MFA) עבור תוכנת גישה מרחוק
- ביקורת על תוכנות ותצורות גישה מרחוק
- בקרות יישומים, כולל עקרונות אפס אמון ופילוח, לניהול ובקרה של ביצוע תוכנה
- תיקון רציף מבוסס סיכונים
- פילוח רשת להגבלת תנועה רוחבית
- חסימת חיבורים נכנסים/יוצאים ביציאות ובפרוטוקולים נפוצים של RMM
- חומות אש של אפליקציות אינטרנט (WAFs) להגנה על תוכנת גישה מרחוק
עם זאת, סוכנות האבטחה ממליצה גם לארגונים "לשמור על אסטרטגיית ניהול סיכונים חזקה המבוססת על סטנדרטים נפוצים, כגון מסגרת אבטחת הסייבר של NIST". Javad Malik, תומך מוביל למודעות אבטחה ב- KnowBe4, מסכים.
"פונקציות הליבה של מסגרת NIST מספקות גישה מקיפה לניהול סיכוני כלי RMM", הוא אומר ל-ISMS.online.
"זה כולל שמירה על מלאי של מערכות עם תוכנת RMM, אכיפת אימות חזק, הטמעת ניתוח התנהגותי לאיתור חריגות, פיתוח ספרי הפעלה ספציפיים לתגובה לאירועים, והבטחת תוכניות המשכיות עסקיות מתחשבות בתלות בכלי RMM." מאליק מוסיף ש-ISO 27001 יכול גם לעזור להפחית את הסיכונים בשימוש בתוכנת גישה מרחוק.
"הבקרות של ISO 27001 על ניהול גישה, קריפטוגרפיה, אבטחת תפעול ויחסי ספקים מספקים בסיס איתן", הוא מסביר. "לדוגמה, ארגונים יכולים ליישם תהליכי ניהול גישה לכלי RMM פורמליים, להבטיח הפעלות מרחוק מוצפנות ולהגדיר התראות אוטומטיות על פעילויות חריגות."
איאן סטרטון, מנהל EMEA ביועצי אבטחת הסייבר גרין רייבן, מסכים ש"אבטחת סייבר מוצלחת מבוססת על יסודות מוצקים כמו ISO 27001".
הוא אומר ל-ISMS.online שעיקרון אחד של גישות כאלה הוא פריסת ניטור רציף מגובה במודיעין איומים.
"זה מובא למיקוד חד יותר על ידי אימוץ בינה מלאכותית על ידי גורמי איומים כאתגר לכלי הגנה מבוססי בינה מלאכותית", מסכם סטרטון.
"פריסת כלים כגון מערכות זיהוי חריגות המנטרות באופן ספציפי התנהגויות חשודות בתהליכי בינה מלאכותית - כגון סיווג שגוי, שינויים פתאומיים בהיגיון של קבלת החלטות או התנהגות אחרת - יכולה לסייע במאבק בסוג זה של איום מבוסס בינה מלאכותית."
