McAfee 发布《网络犯罪分子积极利用RDP瞄准远程组织》预警

COVID-19大流行促使许多公司使员工能够在许多情况下在全球范围内进行远程工作。支持远程工作并允许员工远程访问公司内部资源的关键组件是远程桌面协议(RDP),它允许与远程系统进行通信。为了维持业务连续性,很可能许多组织都将系统快速联机,而对安全性的检查最少,从而使攻击者有机会轻松进入系统。

RDP是运行在端口3389上的Microsoft协议,可供需要远程访问内部系统的用户使用。多数情况下,RDP运行在Windows服务器上,并承载服务,例如Web服务器或文件服务器。在某些情况下,它也连接到工业控制系统。

RDP端口通常暴露于Internet,这使攻击者特别感兴趣。实际上,访问RDP盒可以使攻击者访问整个网络,该网络通常可以用作传播恶意软件或其他犯罪活动的入口。

迈克菲高级威胁研究(ATR)可能是强大的进入媒介,它发现了许多地下市场,以较低的成本提供RPD凭证。例如,迈克菲ATR发现与大型国际机场联系的通道,而该机场仅需10美元即可购买。自2020年3月以来,裸露的RDP端口数量已大大增加。

多年以来,McAfee Advanced Threat Research和安全行业已经意识到暴露RDP的风险,并将作为我们全球威胁监控的一部分继续提高认识。

在此博客中,我们将讨论暴露RDP协议和相关错误配置的风险。

RDP统计

暴露于Internet的RDP端口数量迅速增长,从2020年1月的大约300万增加到3月的超过40万。在Shodan上进行的简单搜索显示了按国家/地区显示给Internet的RDP端口的数量。

有趣的是,中国和美国暴露的RDP系统数量要多得多。

使用RDP的大多数受感染系统都运行Windows Server,但我们也注意到其他操作系统,例如Windows 7。

对于攻击者而言,访问远程系统可以使他们执行一些犯罪行为,例如:

  • 传播垃圾邮件:使用合法系统发送垃圾邮件非常方便。为此专门出售了一些系统。
  • 传播恶意软件:受到破坏的系统提供了一种易于使用的计算机,可以轻松分发恶意软件,甚至转移到内部网络。许多勒索软件作者使用此向量来针对全球组织。另一个犯罪选择是植入加密矿工。
  • 单独使用受感染的机器:网络犯罪分子还使用远程受感染的系统来隐藏其踪迹,例如通过在计算机上编译其工具。
  • 滥用:远程系统还可以用于进行其他欺诈,例如身份盗用或个人信息收集。

最近在Internet上使用RDP的系统数量的增加也影响了地下系统。McAfee ATR注意到,针对RDP端口的攻击数量以及在地下市场上出售的RDP凭证的数量均在增加。

正如Shodan所观察到的,中国(占总数的37%)和美国(占总数的37%)的公开系统数量更高,因此有趣的是,美国(占4%)的RDP凭证被盗占总数的一半)比其他国家要低得多。我们认为这可能是因为市场背后的参与者有时会隐瞒RDP凭据而不发布其整个列表。

攻击者如何破坏远程系统?

弱密码仍然是常见的输入点之一。攻击者可以轻松使用蛮力攻击来获得访问权限。在下图中,我们看到了RDP中20个最常用的密码。我们根据友好的执法机构从拆除的RDP商店中共享的弱密码信息构建了此列表。

下图显示了使用前10个密码的受感染系统的数量。最令人震惊的是,大量易受攻击的RDP系统甚至都没有密码。

RDP协议还存在漏洞,需要修补。去年,我们详细说明了BlueKeep漏洞的工作原理,该漏洞会影响保留通道31(它是协议功能的一部分),以允许远程执行代码。

一月初,还修复了与远程桌面网关有关的其他缺陷:

这两个漏洞类似于BlueKeep漏洞,并通过发送特制请求来允许远程执行代码。我们尚未观察到该漏洞在野外被利用。

为了保护RDP协议,可以使用以下清单作为一个良好的起点:

  • 不允许通过开放Internet进行RDP连接
  • 使用复杂的密码以及多因素身份验证
  • 锁定用户,并阻止登录尝试失败次数过多的IP
  • 使用RDP网关
  • 限制域管理员帐户访问权限
  • 减少本地管理员的数量
  • 使用防火墙限制访问
  • 启用受限管理员模式
  • 启用网络级别身份验证(NLA)
  • 确保本地管理员帐户是唯一的,并限制可以使用RDP登录的用户
  • 考虑在网络中放置
  • 考虑使用不透露组织信息的帐户命名约定

有关如何保护RDP访问的更多详细信息,可以参考我们以前的博客(https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rdp-security-explained/

结论

正如我们所讨论的,RDP仍然是入侵组织的最常用的媒介之一。对于攻击者来说,这是一个简单的解决方案,可以快速执行恶意活动,例如恶意软件,垃圾邮件传播或其他类型的犯罪。

目前,地下市场上有整个围绕RDP开展的业务,而目前的情况加剧了这种行为。为了获得保护,必须遵循最佳安全实践,从基础知识开始,例如使用强密码和修补漏洞。

0 0 vote
Article Rating

未经允许不得转载:x-sec » McAfee 发布《网络犯罪分子积极利用RDP瞄准远程组织》预警

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x