信息來源:51cto
從2018年開始����,大家?guī)缀趺刻於寄苈牭疥P于勒索軟件的消息�����。除此之外�,勒索軟件的更新和升級也從未停止過�����,比如說Dharma和SamSam這種殺傷力巨大的勒索軟件����,變種版本層出不窮。實際上,在攻擊者入侵了一個企業(yè)網(wǎng)絡的遠程桌面協(xié)議(RDP)端口后����,他們將能夠直接在目標網(wǎng)絡的主機上安裝勒索軟件。
這種攻擊切入點是由于缺乏安全保護所導致的�,一旦存在這樣的安全問題,攻擊者可以利用暴力破解攻擊輕而易舉地滲透進目標網(wǎng)絡����,并向特定位置上傳勒索軟件。由于通過入侵RDP來實現(xiàn)勒索軟件攻擊的比例越來越大����,因此我們需要讓整個社區(qū)認識到這個漏洞的重要性。
根據(jù)Coveware對2018年第三季度的勒索軟件攻擊評估�,已經(jīng)有超過80%的勒索軟件都是以RDP作為攻擊切入點的。在這篇文章中����,我們將跟大家介紹為何RDP會成為如此高效的攻擊切入點,并告訴組織如何提升自己的安全性�。
RDP的歷史
RDP可以追溯到上世紀90年代,該技術跟隨Windows NT 4.0一起發(fā)布�����,而這個功能允許IT服務提供商在任何地方都能夠跟網(wǎng)絡內(nèi)部的系統(tǒng)進行通信。在當時�����,這種方法不僅大大降低了故障頻率��,而且還減少了服務支持問題的復雜性�。除此之外,它還為新一代的托管服務提供商提供了一種無需與用戶現(xiàn)場見面即可解決問題的工具����,并使得業(yè)界能夠迅速擴大自己的服務范圍��。
然而�����,和大多數(shù)打著“提升便捷性”為slogen的技術一樣����,RDP也有自己的弱點:其中最嚴重的一點,就是它為攻擊者提供了一種新的攻擊向量�����。除此之外,通過RDP訪問目標網(wǎng)絡能夠避開很多終端保護方案�,這將使得攻擊者在目標網(wǎng)絡系統(tǒng)內(nèi)的橫向滲透更加容易實現(xiàn)。
入侵RDP
攻擊者可以通過以下幾種方式入侵RDP:
-
通過類似Shodan這樣的網(wǎng)站進行端口掃描�����,然后通過暴力破解攻擊獲取RDP會話憑證�。
-
在類似XDedic這樣的網(wǎng)站上直接購買和使用暴力破解服務,獲取RDP會話憑證�。
-
通過網(wǎng)絡釣魚或社工等方式入侵目標組織的員工電腦,然后利用這種訪問權限來從網(wǎng)絡內(nèi)部獲取RDP訪問權����。
在暗網(wǎng)市場上,有著數(shù)十萬個企業(yè)RDP憑證可隨意購買�,只需3美元就可以買到一個。對于網(wǎng)絡犯罪分子來說�,這種投入是微不足道的,也就是說����,現(xiàn)在通過RDP來發(fā)動勒索軟件攻擊的成本越來越低了。
很多大型組織目前仍在使用RDP�,而很多小型企業(yè)卻在沾沾自喜,因為他們認為自己太小而不會成為被攻擊的目標��,但他們根本就不知道自己有多么容易被攻擊。
另一個需要注意的是��,即使沒有惡意軟件或勒索軟件的存在�,暗網(wǎng)中的企業(yè)網(wǎng)絡RDP憑證也一直有人在出售。
如果你發(fā)現(xiàn)自己的企業(yè)網(wǎng)絡受到了Dharma或SamSam這樣的勒索軟件攻擊��,那說明這已經(jīng)是第二波攻擊了��,因為在第一波攻擊中你的RDP訪問憑證已經(jīng)被泄露了…
攻擊向量
RDP所提供的公開訪問以及橫向訪問功能將允許勒索軟件感染目標網(wǎng)絡內(nèi)的所有設備��,包括個人設備��、服務器和備份系統(tǒng)在內(nèi)�。
除此之外����,攻擊者還可以利用RDP實現(xiàn)賬號提權,并創(chuàng)建RDP會話��,然后在拿到訪問權限之后安裝和執(zhí)行各種應用程序�����。在惡意軟件的幫助下��,攻擊者將能夠獲取到目標系統(tǒng)的命令控制權限,最終實現(xiàn)勒索軟件的感染����。
保護RDP
為了增強RDP的安全性,企業(yè)應該從預防�����、響應和恢復這三個因素出發(fā)進行考量:
-
雙因素驗證(2FA):給遠程會話和所有的遠程訪問賬號開啟雙因素身份驗證功能�,可以保護絕大多數(shù)企業(yè)免受勒索軟件的攻擊。點擊【這里】了解更多關于RDP-2FA的內(nèi)容����。
-
限制訪問:通過設置防火墻來限制RDP的訪問權,使用VPN來訪問����,修改默認端口,或者通過IP地址白名單來緩解此類安全風險����。
-
終端替代方案:及時檢測網(wǎng)絡異常(例如在辦公室工作站試圖建立RDP會話),在攻擊發(fā)生之前阻止可疑行為�。
-
災難恢復(DR)與應急響應(IR):一個企業(yè)的RDP配置是否安全,還跟公司的DR和IR方案有關系�����。備份系統(tǒng)應該跟公司的網(wǎng)絡隔離,而IR方案能夠幫助公司在攻擊發(fā)生時盡量減少應對的成本和時間�,并以最快速度處理攻擊事件。
總結
RDP帶來的安全風險是非常大的�,如果沒有適當?shù)墓芾恚赡軙o企業(yè)帶來災難性的后果��。無論規(guī)模大小�����,每一個組織都應該優(yōu)先考慮提升RDP訪問的安全保護�����,以避免受到勒索軟件的感染�����,并造成數(shù)據(jù)和財產(chǎn)損失����。
