网络攻击者越来越多地利用RDP,警告FBI
RDP(远程桌面协议)的使用创造了风险,因为它有能力远程控制计算机,并在FBI和美国国土安全部门表示,监控和控制应密集,监控和控制。
恶意网络演员在互联网上制定了识别和利用弱势攻击的RDP会话,以妥协身份,窃取登录凭据和赎金数据,这两个美国机构在联合公共服务公告中表示。
自2016年中期以来,使用远程管理工具(如RDP)的使用是在2016年末以来的崛起,随着黑暗市场销售RDP访问的工具。
RDP越来越受到网络攻击者的流行,因为它允许习惯控制计算机通过互联网的资源和数据。
网络演员可以渗透机器之间的连接并将恶意软件或勒索软件注入远程系统,因为使用RDP的攻击不需要用户输入,因此侵入难以检测。
漏洞包括弱密码,允许攻击者启动RDP连接,RDP的过时版本,具有弱加密机制,使能中间攻击缺陷,允许不受限制地访问默认的RDP端口(3389),并允许无限制的登录尝试尝试用户帐号。
威胁包括账户仓库,如孤岛危机,通过开放的RDP端口而设计企业; Crypton,它使用蛮力攻击来获得RDP会话的访问;和SAMSAM使用广泛的利用,包括攻击支持RDP的机器的漏洞,以执行蛮力攻击。
2018年7月,SAMSAM威胁演员在RDP登录凭证上使用了蛮力攻击来渗透医疗保健公司并在检测前加密数千台机器,FBI / DHS警报说。
威胁演员也被称为在暗网上购买和销售被盗的RDP登录凭据,凭据的价值由受妥协机器,会话中使用的软件的位置确定的凭据以及增加被盗的可用性的任何其他属性资源。
2018年8月,安全公司Cyber Aeron的研究人员报告说,透镜屏幕旨在看起来像电力供应商的电力传输变电站,在两天内发现,并使用工具XDedic RDP补丁准备销售作为TheDark网上的资产。
该工具允许受害者和攻击者使用相同的凭据使用RDP同时登录机器,否则由于最新版本中内置安全限制,这将是不可能的。
根据2018年第二季度2018年第二季度急速7的报告,每日RDP事件在五月飙升,攻击者在大多数情况下进行备份。
该报告称,第二季度的RDP持续了一致的活动,具有活动峰,例如50万次探测器。
“对蛮力活动的监测,可疑的多国认证和多组织身份验证有助于识别这种类型的活动,并为泄露的凭证实施多因素身份验证和监控,可以帮助组织积极保护自己这些威胁,”报告说。
了解曝光是打击威胁的另一个关键方面,Rapid 7报告称,注意到外部暴露的RDP - 即使是短时间 - 也可以对组织具有毁灭性的影响,如由若干RDP启用所示。第二季度的赎金软件攻击。
为了防止基于RDP的攻击,FBI和DHS建议业务:
使用RDP进行远程通信的系统审计网络,如果不需要或安装可用修补程序,则禁用服务。验证所有具有公共IP的基于云的虚拟机实例是否没有打开RDP端口,特别是端口3389,除非有有效的业务原因来执行此操作。将任何系统放在防火墙后面的开放式RDP端口,并要求用户使用虚拟专用网络(VPN)来通过防火墙访问它。启用强密码和帐户锁定策略以防御蛮力攻击。尽可能应用双因素认证。定期应用系统和软件更新。保持良好的备份策略。启用日志记录并确保日志记录机制捕获RDP登录。保留日志至少90天并定期查看它们以检测入侵尝试。创建基于云的虚拟机时,遵守云提供商的远程访问的最佳实践。确保需要RDP访问权限的第三方遵循远程访问的内部策略。最大限度地减少所有控制系统设备的网络曝光,在可能的情况下,可以禁用用于关键设备的RDP。调节并限制内部到内部RDP连接。需要外部访问内部资源时,请使用安全方法,例如VPN。