Breaking News

[Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass

Vào trung tuần tháng 2/2019, hàng loạt các máy chủ tại Việt Nam đã bị tấn công thông qua một chiến dịch phát tán mã độc mã hoá tống tiền (Ransomware) W32.WeakPass. Hôm nay, tôi sẽ hướng dẫn các bạn cấu hình hệ thống để phòng chống phần nào chiến dịch tấn công này.

[Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass
[Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass

Theo đó, chiến dịch tấn công này có nguồn gốc từ Nga, một số nước Châu Âu và Châu Mỹ, nhắm mục tiêu vào các hệ thống Server Public đặt tại Việt Nam nhằm phát tán mã độc mã hoá tống tiền có tên gọi W32.WeakPass.
Trong chiến dịch này, tin tặc sử dụng các công cụ để rà quét các hệ thống sử dụng hệ điều hành Windows, dò mật khẩu bằng phương thức tấn công vét cạn (Brute Force). Nếu thành công, tin tặc sẽ tiến hành đăng nhập vào hệ thống thông qua dịch vụ Remote Desktop và phát tán mã độc mã hoá tống tiền W32.WeakPass lên hệ thống của nạn nhân nhằm mã hoá dữ liệu.

Vì đây là một chiến dịch tấn công nhắm vào dịch vụ Remote Desktop, do đó, chúng ta sẽ tiến hành thay đổi cấu hình dịch vụ này
  1. Hướng xử lý:
    • Tắt hẳn dịch vụ Remote Desktop (RDP) trên các máy chủ không cần thiết.
    • Đối với các máy chủ buộc mở dịch vụ Remote Desktop, cần giới hạn quyền truy cập cho những IP cố định, đổi port Remote theo hướng dẫn sau
  2. Hướng dẫn bảo mật dịch vụ Remote Desktop
    • Giới hạn số lần đăng nhập: Trong chiến dịch tấn công này, tin tặc sử dụng phương pháp tấn công vét cạn để tiến hành dò mật khẩu hệ thống. Do đó, chúng ta cần thiết lập khoá đăng nhập nếu như đăng nhập sai số lần nhất định trong 1 khoảng thời gian. Để cài đặt, các bạn làm như sau:
      + Mở Administrative Tools: Vào Control Panel -> System and Security -> Administrative Tools -> Chọn Local Security Policy
      [Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass
      [Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass

      Trong Tab Account Policy, các bạn chọn Account Lockout  Policy. Trong cửa sổ bên phải, các bạn nhấp đúp vào mục  Account Lockout Threshold và thiết lập số lần đăng nhập sai. Trong trường hợp này tôi chọn đăng nhập sai 10 lần sẽ khoá đăng nhập. Sau đó chọn Ok.
      [Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass
      [Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass
      Mặc định, sau khi kích hoạt, tính năng này sẽ tự động khoá đăng nhập 30 phút sau khi bạn đăng nhập sai liên tiếp 10 lần. Để thay đổi thời gian khoá, các bạn chọn khoá Account Lockout duration và chỉnh lại thời gian mình mong muốn.
    • Thay đổi port kết nối RDP: Trong hầu hết các chiến dịch tấn công vào dịch vụ RDP, tin tặc thường rà quét bằng port mặc dịch của dịch vụ là 3389. Do đó, chúng ta nên thay đổi port này nhằm tránh các cuộc tấn công rà quét của tin tặc.
      + Các bạn vào Start -> Run -> gõ regedit -> ok. Trong hộp thoại Registry Editor, Các bạn tìm đến đường dẫn:  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp.+ Tại cửa sổ bên phải, các bạn nhấp đúp vào khoá PortNumber, chọn Decimal và nhập số port mình muốn thay đổi ở phần Value Data.
      [Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass
      [Thủ Thuật] Thay đổi cấu hình Remote Desktop để phòng chống mã độc mã hoá tống tiền W32.WeakPass
      Kể từ bây giờ, các bạn sẽ đăng nhập RPD thông qua port mình vừa thiết lập.
    • Sử dụng các giải pháp đám bảo an toàn khi truy cập từ xa: Hiện tại, để đảm bảo an toàn khi kết nối từ xa, tôi khuyên bạn nên sử dụng giải pháp VPN trên các hệ thống Firewall chuyên dụng. Đồng thời tập thói quen sử dụng các mật khẩu có độ phức tạp cao.
Trên đây, tôi đã hướng dẫn các bạn cách thiết lập hạn chế truy cập dịch vụ RDP nhằm giảm thiểu khả năng bị ảnh hưởng bởi cuộc tấn công phát tán mã độc mã hoá tống tiền W32.WeakPass. Nếu các bạn có giải pháp nào hay hơn, hãy cùng nhau thảo luận và chia sẻ ở phần comment. Rất vui nhận được sự chia sẻ của các bạn.

Không có nhận xét nào