首頁 > 安全研究 > 安全通報 > 安全通告

遙遠的春天 | RDP暴力攻擊事件通告

發布時間 2020-05-01

0x00 RDP暴力攻擊




遠程桌面協議(RDP)是Microsoft開發的最流行的協議之一,它使用戶可以遠程連接工作站或服務器。遠程桌面協議(RDP)是目前遠程訪問服務器的一種非常流行的解決方案,它使遠程工作人員可以在家中訪問其Windows工作站或服務器。


自COVID-19爆發以來,卡巴斯基實驗室的研究人員發現,RDP暴力攻擊的數量已大幅增加。本月初,Shodan的研究人員報告說,在線暴露的RDP終端數量增加了41%。


自3月初以來,Bruteforce.Generic.RDP攻擊的數量幾乎遍及整個網絡:


RDP攻擊(卡巴斯基)


對于RDP暴力攻擊,黑客使用各種工具來掃描網絡,以識別RDP服務器使用的IP地址和端口范圍。


一旦發現RDP服務器,攻擊者便會使用各種用戶名和密碼的組合來暴力破解RDP服務器的密碼。


如果攻擊者可以訪問RDP服務器,則可以在暗網上出售RDP憑據、禁用殺毒軟件、安裝惡意軟件、竊取公司數據、加密文件等。


根據BinaryEdge和Shodan的統計,目前超過450萬臺設備將RDP公開到Internet。



RDP 數量


0x01 勒索軟件重點攻擊目標


自2016年年中以來,針對RDP服務的攻擊一直在增加,首先是根據2018年的一份IC3報告,在暗網出售RDP服務器密碼的事件有所增加。


例如,2017年通過xDedic出售或出租了超過85000臺RDP服務器,被黑客入侵的服務器平均售價為6美元。


對具有開放RDP端口的服務器的暴力攻擊也被用作勒索軟件攻擊的初始攻擊媒介,最近的例子是Dharma和DoppelPaymer。


0x02 VNC也容易遭到攻擊


卡巴斯基的ICS CERT研究團隊使用Shodan搜索引擎發現了600,000多個VNC服務器,這些服務器可進行遠程訪問。

卡巴斯基安全研究員Pavel Cheremushkin表示:“為防止攻擊,客戶端不應連接到未知的VNC服務器,管理員應使用唯一的強密碼在服務器上配置身份驗證?!?


0x03防護策略


● 至少要使用強密碼

● 僅通過公司VPN使用RDP

● 使用網絡級別身份驗證(NLA)

● 如果可能,請啟用雙因素認證(2FA)

●  如果不使用RDP,請禁用它并關閉端口3389

● 使用可靠的安全解決方案


0x04參考鏈接


https://securityaffairs.co/wordpress/102495/hacking/covid-19rdp-bruteforce-attacks.html

https://securelist.com/remote-spring-the-rise-of-rdp-bruteforce-attacks/96820/

https://www.bleepingcomputer.com/news/security/rdp-brute-force-attacks-are-skyrocketing-due-to-remote-working/

https://gbhackers.com/rdp-brute-force-attacks/


0x05時間線


2020-05-01  VSRC發布漏洞通告


上一篇 下一篇