Hentikan! RDP Sumber Masalah

Remote Desktop Protocol atau sering disingkat RDP memungkinkan satu komputer terhubung ke komputer lain melalui jaringan untuk menggunakannya dari jarak jauh. Dalam domain, komputer yang menjalankan sistem operasi Windows client, seperti Windows XP atau Windows 10 memiliki perangkat lunak RDP client yang sudah diinstal sebagai bagian dari sistem operasi yang memungkinkan untuk terhubung ke komputer lain di jaringan, termasuk server.

Koneksi ke server dalam hal ini berarti bisa langsung ke sistem operasi server, atau bisa juga ke sistem operasi yang berjalan di dalam mesin virtual di server itu. Dari koneksi itu, seseorang dapat membuka direktori, mengunduh dan mengunggah file, dan menjalankan program, sama seperti mereka menggunakan keyboard dan monitor yang terhubung ke server itu.

RDP ditemukan oleh Citrix pada tahun 1995 dan dijual sebagai bagian dari versi Windows NT 3.51 yang disempurnakan yang disebut WinFrame. Pada tahun 1998, Microsoft menambahkan RDP ke Windows NT 4.0 Terminal Server Edition. Sejak itu, protokol tersebut telah menjadi bagian dari semua versi jajaran sistem operasi Windows Server Microsoft, serta disertakan dengan semua edisi pengguna non-home dari sistem operasi Windows Client sejak Windows XP dirilis pada tahun 2001.

Saat ini, pengguna umum RDP termasuk administrator sistem dapat melakukan pengelolaan server dari jarak jauh dari ruang mereka tanpa harus masuk ke ruang server, serta remote worker atau pekerja yang berada di luar lingkungan kantor dapat terhubung ke mesin desktop tervirtualisasi di dalam domain organisasi mereka.

Peretas manfaatkan RDP

Selama beberapa tahun terakhir, ESET telah melihat peningkatan jumlah insiden di mana peretas telah terhubung dari jarak jauh ke Windows Server dari internet menggunakan RDP dan masuk sebagai administrator komputer. Setelah peretas masuk ke server sebagai administrator, mereka biasanya akan melakukan pengintaian untuk menentukan untuk apa server digunakan, oleh siapa, dan kapan ia digunakan. Setelah mereka mengetahui jenis server yang dikendalikan, mereka dapat mulai melakukan tindakan jahat. Aktivitas jahat yang sering kita lihat meliputi:

  1. Membersihkan file log yang berisi bukti keberadaannya di sistem.

  2. Menonaktifkan schedule backup dan shadow copy.

  3. Menonaktifkan perangkat lunak keamanan atau membuat Pengecualian di dalamnya yang diizinkan untuk administrator.

  4. Mengunduh dan menginstal berbagai program ke server.

  5. Menghapus atau menimpa backup lama, jika dapat diakses.

  6. exfiltrasi/mencuri data dari server.

Aktivitas di atas hanya sebagian saja dari berbagai hal yang dapat peretas lakukan, Peretas dapat terhubung ke server yang dikuasai beberapa kali dalam beberapa hari atau hanya sekali, sesuai dengan agenda yang telah mereka tentukan. Sementara sifat pasti dari apa yang akan dilakukan peretas sangat bervariasi, tapi ada dua yang paling umum:

  1. Menginstal program penambangan koin untuk menghasilkan cryptocurrency, seperti Monero

  2. Menginstal ransomware untuk memeras uang dari perusahaan, sering kali harus dibayar menggunakan cryptocurrency, seperti bitcoin

Dalam beberapa kasus, peretas mungkin menginstal perangkat lunak kendali jarak jauh tambahan untuk mempertahankan akses ke server yang dikuasai jika aktivitas RDP mereka ditemukan dan dihentikan.

Sepanjang sepengetahuan ESET, belum melihat ada server yang dikuasai oleh peretas untuk memeras melalui ransomware dan untuk menambang cryptocurrency, tetapi ESET pernah melihat contoh di mana server dikompromikan oleh satu peretas untuk menambang cryptocurrency, kemudian dikompromikan oleh peretas lain yang mengubahnya untuk menambang mata uang digital sehingga hasilnya bisa mereka nikmati.

Menghadapi bahaya serangan RDP

Jadi apa yang akan anda lakukan? Hal yang pertama tentu saja adalah berhenti menghubungkannya langsung ke server melalui internet menggunakan RDP. Namun, dukungan untuk Windows Server 2008 and Windows 7 berakhir pada Januari 2020, sehingga menempatkan komputer yang menjalankan sistem operasi ini dalam bahaya terutama bagi bisnis.

Ini tidak berarti bahwa Anda harus segera berhenti menggunakan RDP, tetapi langkah-langkah pengamanan tambahan harus dilakukan secepat mungkin. Untuk tujuan ini, ESET telah membuat tips untuk mengamankan komputer dari serangan berbasis RDP.

  1. Larang koneksi eksternal ke mesin lokal pada port 3389 (TCP/UDP) di firewall perimeter, tujuannya untuk memblokir akses RDP dari internet.

  2. Uji dan gunakan patch untuk kerentanan CVE-2019-0708 (BlueKeep) dan aktifkan Network Level Authentication sesegera mungkin. Dengan menginstal patch Microsoft dan mengikuti pedoman preskriptif mereka membantu memastikan perangkat terlindungi dari kerentanan BlueKeep.

  3. Untuk semua akun yang dapat masuk melalui RDP memerlukan kata sandi yang kompleks (pass phrase panjang yang berisi 15+ karakter tanpa frasa yang terkait dengan bisnis, nama produk, atau pengguna). Bertujuan untuk melindungi dari serangan tebak kata sandi dan kredensial. Sangat mudah untuk mengotomatisasi ini, dan meningkatkan panjang kata sandi secara eksponensial membuat mereka lebih tahan terhadap serangan.

  4. Instal otentikasi dua faktor (2FA) dan menerapkannya di semua akun yang dapat masuk melalui RDP. Selain itu, memerlukan otentikasi lapisan kedua untuk karyawan melalui ponsel, token, atau mekanisme lain untuk masuk ke komputer.

  5. Pasang gateway Virtual Private Network (VPN) untuk menengahi semua koneksi RDP dari luar jaringan lokal Anda. Mencegah koneksi RDP antara internet dan jaringan lokal, memungkinkan Anda menerapkan persyaratan identifikasi dan otentikasi yang lebih kuat untuk akses jarak jauh ke komputer.

  6. Perangkat lunak endpoint security yang dilindungi kata sandi dengan menggunakan kata sandi yang kuat dan tidak terkait dengan akun administratif dan layanan, akan mampu memberikan lapisan perlindungan tambahan jika peretas mendapatkan akses administrator ke jaringan Anda.

  7. Mengaktifkan pemblokiran eksploitasi dalam perangkat lunak endpoint security. Banyak program keamanan endpoint juga dapat memblokir teknik eksploit. Verifikasi bahwa fungsi ini diaktifkan.

  8. Isolasi semua komputer tidak aman yang perlu diakses dari internet menggunakan RDP. Terapkan isolasi jaringan untuk memblokir komputer yang rentan dari jaringan lainnya.

  9. Ganti komputer yang tidak aman. Jika komputer tidak dapat ditambal dari kerentanan BlueKeep, rencanakan penggantiannya tepat waktu.

  10. Pertimbangkan untuk pemblokiran geoIP di gateway VPN. Jika staf dan vendor berada di negara yang sama, pertimbangkan untuk memblokir akses dari negara lain untuk mencegah koneksi dari peretas asing.

Secara default, RDP beroperasi pada port 3389. Jika Anda telah mengubah port ini ke value yang berbeda maka itu adalah port yang harus diblokir.

Tips ini didasarkan pada urutan kepentingan dan kemudahan implementasi, tetapi pengguna dapat menerapkan bervariasi tergantung pada perusahaan Anda. Beberapa di antaranya mungkin tidak berlaku untuk perusahaan Anda, atau mungkin lebih praktis untuk melakukannya dalam urutan yang berbeda, atau mungkin ada langkah tambahan yang perlu diambil.

Pastikan untuk memverifikasi bahwa perangkat lunak endpoint security Anda mendeteksi kerentanan BlueKeep. BlueKeep dideteksi sebagai RDP/Exploit.CVE-2019-0708 oleh modul Network Attack Protection ESET, yang merupakan perluasan dari teknologi firewall ESET yang ada dalam ESET Internet Security dan ESET Smart Security Premium untuk konsumen, dan program ESET Endpoint Protection untuk bisnis.