通过远程桌面协议(RDP)发生的攻击事件不断增加,促使FBI发布警报,通知企业应采取预防措施。 RDP是在所有Windows版本中自动启用的一项网络通信功能,它使软件开发人员和网络管理员可以远程支持,排除其他用户或客户的设备或对其进行故障排除或管理。 将IT团队外包或分布在多个地方的公司可以使用RDP远程访问计算机,从而可以更快地实施IT解决方案。
[相关:2017年被滥用的系统管理工具和协议]
自从2012年发布了一篇简短的信息文章,论述了MS12-020的重要性之后,与Windows RDP有关的已利用漏洞已从概念验证(POC)变为网络攻击的常见切入点。 但是,对阻止RDP尝试的观察表明,即使是个人设备也容易受到攻击。 趋势科技在2018年检测到超过3500万次在家用计算机和个人设备上的暴力登录尝试,并且通过RDP进行的尝试占该次数的85%。 攻击和恶意软件
以下是最近几年通过RDP滥用引起的一些攻击: 勒索软件 SAMSAM在2016年对医疗保健行业的攻击利用了易受攻击的服务器和未打补丁的系统,从而使勒索软件可以在网络内横向传播。 SAMSAM和RDP强力的结合作为2018年的另一个切入点,在被发现之前已感染了医疗领域的数千台机器。 Crysis勒索软件还于2016年晚些时候被发现,它通过强行强制RDP攻击澳大利亚和新西兰的企业,而RDP只是其他分发手段之一。 但是与其他技术相比,通过RDP进行的《孤岛危机》能够扫描其他易受攻击的网络驱动器和共享,对数据进行加密,并有可能使攻击者通过提升的特权(包括的医疗保健部门)造成更大的损害。 [相关:勒索软件:过去,现在和将来] 有针对性的攻击 有针对性的攻击分为多个阶段,可能会影响相关实体,例如供应链。 动机可能超出财务范围,例如损害受害者的声誉,窃取知识产权或专有信息或危害。 一个示例是vtask.exe,这是一种有针对性的攻击中观察到的自定义工具,在Microsoft引入RDP时,该工具隐藏了当前正在运行会话的Windows任务。 在攻击者的监视器上运行的主窗口使攻击者可以在目标计算机的用户未登录时搜索敏感信息。 使用旧的Windows版本创建时,当滥用端口3389时,它仍然可以中断当前进程。 [相关:针对目标攻击的自定义防御] 数据泄露,服务器黑客和凭证收集 RDP端口是地下网络分子中流行的商品,用于发动攻击,例如数据泄露,服务器黑客入侵以及在公司系统上收集凭据。 被黑客入侵的服务器信息可以在xDedic之类的深层网络市场上出售,并且由于员工倾向于使用短密码和弱密码(通常与其他在线帐户一起使用)来使业务蓬勃发展。 蠕虫,远程访问特洛伊木马(RAT)和漏洞 自2011年以来,Morto恶意软件家族仍然是使用RDP进行传播的最流行的蠕虫。使用一组预定义的凭据,攻击者可以使用它来查看.DLL有效载荷成功执行后可以远程渗透哪些系统或网络。 2017年,MajikPOS结合了许多入口点和攻击链,包括RDP用于破坏和下载恶意软件。 除了结合销售点(PoS)恶意软件和远程访问特洛伊木马(RAT)之外,它的组件之一还可以扫描直接连接到Internet的不安全端口,删除其有效负载,连接到C&C服务器并执行其RAM。 凭据安全支持提供程序协议(CredSSP)被发现具有影响RDP和Windows远程管理(WinRM)的严重漏洞,可以利用该漏洞来启用管理员。 中间攻击(CVE-2018-0886)。 “ EsteemAudit”是Shadow Brokers小组泄漏的另一个利用示例,它滥用Windows XP和Windows Server 2003(CVE-2017-9073)中发现的缺陷,以使智能卡身份验证代码中的缓冲区溢出,以执行任意代码。 /> [相关:据报道,使用Shadow Brokers漏洞利用的恶意软件在野外泄漏] 抵制RDP滥用
您的组织可以采取一些最佳做法来防止通过RDP滥用进行攻击: 表面减少 如果未使用或使用完毕,请关闭RDP端口3389,以确保未经授权的用户和外部用户无法轻易获得攻击的入口点。 禁用共享驱动器访问。 将RDP网络管理员访问权限限制为特定的授权用户列表。 根据Windows的版本,可以通过“控制面板设置”或“组策略”进行配置。 如果无法关闭端口,请使用防火墙访问控制列表(ACL)限制允许访问该端口的源地址。 检查配置,以防止意外打开RDP端口。 如果需要将服务器直接连接到Internet,请设置远程桌面网关(RD网关)以启用单个入口点,而不是为每个服务器启用特定的RDP端口。 防攻击 应用分层保护系统(例如,本地化的用户体验规范)作为其他安全措施,或启用2FA(如果可用)。 更新RDP客户端和服务器端的补丁程序,以防止利用漏洞,尤其是对于旧系统。 限制尝试登录失败的次数,以阻止未经授权的登录。 网络管理员可以手动恢复,也可以在确定的时间后自动恢复。 攻击监控 管理员应实施或安装网络实时监控机制以进行入侵检测。 降低风险 练习3-2-1系统来备份您的重要文件和联机数据资产:创建两种不同格式的三个备份副本,其中一个存储驱动器未连接到Internet。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢