Това са най-популярните пароли, които хакерите използват срещу отдалечен достъп. Време е да промените своя?

Изследователи от Rapid7 са разгледали сигурността на администраторските пароли, използвани за защита на двата основни протокола за отдалечен достъп до корпоративни мрежи – и резултатите не са добри.

Двата протокола – Remote Desktop Protocol (RDP) и Secure Shell (SSH) – се използват широко за управление на виртуални машини в облака. С нарастващата популярност както на облачните внедрявания, така и на отдалечената работа, изследователите казаха, че е важно да се знае как опортюнистични нападатели се насочват към тези системи.

Rapid7 установи, че трите най-популярни потребителски имена за RDP са „администратор“, „потребител“ и „администратор“. RDP е 

основна цел за нападателите на ransomware.

Също: Най-голямата заплаха от киберпрестъпления също е тази, за която никой не иска да говори

Трите най-популярни потребителски имена за SSH са "root", "admin" и "nproc", според доклада за изследване на паролите. Други популярни пароли за SSH и RDP са „admin“, „password“ и „123456“.

За да проведе своето проучване, Rapid7 разгледа идентификационните данни, използвани от онлайн нападателите, за да компрометират своята мрежа от RDP и SSH honeypots през годината до 9 септември 2022 г.

Тези саксии с мед са част от компанията Проект Хайзенберг, което позволява на ботове и хора нападатели да правят връзки към неговата мрежа. През това време той наблюдава десетки милиони опити за свързване към своите honeypots и половин милион уникални пароли.

След това фирмата сравни своя набор от данни honeypot със списъка с пароли „rockyou“ от осем милиарда потребителски имена и пароли, използвани от тестерите на писалки и нападателите. Тези списъци са полезни за атаки с пръскане на пароли, при които нападателят използва списъка срещу много акаунти, чието потребителско име е известно, както и други атаки с груба сила. Rapid7 откри, че паролите, използвани за достъп до неговите хранилища за мед, почти напълно съответстват на скалата, която сте задали.

„За отбелязване е, че открихме, че от почти 500 000 уникални пароли, наблюдавани в нашите honeypots, този „rockyou набор“ съдържаше практически всички (99,997%). Ние заключаваме от това наблюдение, че онлайн атакуващите идентификационни данни не генерират наистина произволни пароли, а вместо това работят изцяло със списъци с пароли, които могат да се отгатнат." 

Данните от honeypot също така показват, че паролите, използвани от нападателите, като цяло са най-популярните, като „admin“, „password“ и „123456“.

Rapid7 вярва, че нападателите опортюнистично опитват малка шепа потребителски имена и пароли и след това продължават напред. Също така често вижда единичен IP адрес, опитващ едно потребителско име и парола, като „root: root“ или „admin: admin“, което предполага, че това е автоматизиран процес и вероятно ботнет.

Rapid7 установи, че разпределението както на потребителските имена, така и на паролите е „приблизително експоненциално“, което означава че паролите, които се наблюдават по-често, се виждат експоненциално повече от по-рядко срещаните пароли.

Най-често срещаните потребителски имена, изпробвани от нападателите за RDP, са „Администратор“ и „администратор“. Това вероятно се дължи на RDP, който обикновено работи на Windows и че администраторският акаунт по подразбиране се нарича „администратор“.

За SSH двете забележителни потребителски имена са "root" и admin", които атакуващите избират, тъй като повечето Linux дистрибуциите се доставят с потребител с име "root", докато "admin" е обичайно потребителско име по подразбиране в рутери и IoT устройства. Следователно, защо IoT злонамерен софтуер като Mirai се опитва да се удостовери, като използва идентификационните данни по подразбиране на устройството. Това е и причината, поради която NSA препоръчва на администраторите да променят идентификационните данни по подразбиране на мрежови устройства.

SSH honeypots на Rapid7 събраха 497 848 пароли. Двата най-често срещани опита бяха "123456" и "парола".

Когато Rapid7 премахна набора от данни rockyou от списъка с пароли, видяни в неговите honeypots, останаха само 14 от общия брой.

Основният съвет на Rapid7 е да промените идентификационните данни по подразбиране и да деактивирате акаунтите на локален администратор и гост, когато е възможно. Това няма да спре насочените атаки, но ще се справи с опортюнистични. Освен това използвайте мениджър на пароли.

Също: Ransomware: Защо все още е голяма заплаха и накъде отиват бандите

За да защитят RDP и SSH, организациите трябва да използват корпоративна VPN и да ограничат отдалечените връзки да работят само чрез хостове, удостоверени с VPN. Освен това, за да се предотвратят повечето груби атаки, може да си струва да се сменят портовете, въпреки че фирмата отбелязва, че тази дейност попада в „сигурност чрез неизвестност“.

„За RDP най-добрата защита е да се ограничи достъпът чрез защитни стени и групи за мрежова сигурност, така че екземплярите с изложен RDP да могат да бъдат достъпни само от надеждни IP адреси. Използването на хост за прескачане или хост за бастион за внедряване в облак също е добра практика вместо излагане на RDP директно в интернет“, отбелязва той.

Когато защитавате SSH, най-важната мярка за сигурност, която можете да предприемете, е да деактивирате удостоверяването, базирано на парола, в полза на удостоверяване, базирано на сертификат. Също така силно се препоръчва да ограничите потребителите, които имат активиран SSH, като модифицирате вашия sshd_config файл, каза Rapid7. Също така "като цяло" е добра идея да деактивирате SSH за всички root акаунти, както и да промените максималния брой опити за влизане.