Недавние события продолжают обращать наше внимание на злоупотребление приложениями для удаленного доступа на предприятии. В прошлый вторник, Trusteer в отчете сообщил – что новый вариант вируса Citadel, который давно полагался на VNC и давал злоумышленникам удаленный контроль над системами, стал добавлять новые учетные данные в инфицируемые системы и включает стандартное приложение Windows «Удаленный рабочий стол» (RPD). Это позволяет злоумышленникам сохранять контроль над системой, даже когда вирус Citadel удален. Как показывает отчет, использование RDP таким образом также позволяет злоумышленникам, что называется «летать ниже зоны обнаружения радара», так как RDP обычно используют администраторы и он не рассматривается как угроза.

Позднее, на той же неделе, компьютерная команда экстренной готовности США US-CERT выпустила предупреждение касательно вредоносного ПО «Backoff Point of Sale (POS)», которое описывает, как вредоносные агенты использовали общедоступные инструменты для обнаружения организаций, которые используют приложения для удаленного доступа небезопасным образом. Данное предупреждение впоследствии повлекло за собой атаки на учетные данные с целью получения неавторизованного удаленного доступа, установку дополнительного ПО с последующим просачиванием пользовательской платежной информации.

Как и любой другой инструмент, приложения для удаленного доступа могут быть использованы как с хорошими, так и плохими намерениями. Администратору было бы нецелесообразно ехать в удаленный офис и вносить изменения в систему, но для организации критически важно держать под контролем эти приложения. Первый шаг – идентифицировать их в вашей сети. На данный момент, Palo Alto Networks может отслеживать 90 разных приложений для удаленного доступа в исследовательском центре Applipedia. Примерами являются программы RDP, VNC, TeamViewer и даже SSH – и это только малая часть.

Как только вы сможете идентифицировать трафик, необходимо отделить «хороший» (трафик) от «плохого». Если ваша компания использует Windows и полагается на RDP, вы можете заблокировать VNC, TeamViewer и остальные 87 приложений, так как они вам не нужны. Если приложение RDP нужно только администраторам и службе поддержки для доступа к вашим системам, отключите его всем остальным пользователям. Ключевой момент – разместить политику в нужном месте и удостовериться что ваша система безопасности применяет эту политику на сетевом уровне.

Отчеты по вредоносным программам Backoff и Citadel, которые датируются прошлой неделей, подчеркивают насколько бесконтрольный удаленный доступ расширяет область возможной атаки и выполняет функции «черного хода» в вашей сети. Использование удаленного доступа с недобросовестными намерениями – проблема не новая. Palo Alto Networks подчеркивает важность контроля этой угрозы с 2009 года, но спустя 5 лет она остается проблемой (вызовом) для многих организаций.