信息來(lái)源:51cto
從2018年開(kāi)始�,大家?guī)缀趺刻於寄苈?tīng)到關(guān)于勒索軟件的消息�����。除此之外�,勒索軟件的更新和升級(jí)也從未停止過(guò),比如說(shuō)Dharma和SamSam這種殺傷力巨大的勒索軟件���,變種版本層出不窮�����。實(shí)際上�����,在攻擊者入侵了一個(gè)企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程桌面協(xié)議(RDP)端口后�����,他們將能夠直接在目標(biāo)網(wǎng)絡(luò)的主機(jī)上安裝勒索軟件�。
這種攻擊切入點(diǎn)是由于缺乏安全保護(hù)所導(dǎo)致的,一旦存在這樣的安全問(wèn)題�,攻擊者可以利用暴力破解攻擊輕而易舉地滲透進(jìn)目標(biāo)網(wǎng)絡(luò),并向特定位置上傳勒索軟件�。由于通過(guò)入侵RDP來(lái)實(shí)現(xiàn)勒索軟件攻擊的比例越來(lái)越大,因此我們需要讓整個(gè)社區(qū)認(rèn)識(shí)到這個(gè)漏洞的重要性�。
根據(jù)Coveware對(duì)2018年第三季度的勒索軟件攻擊評(píng)估,已經(jīng)有超過(guò)80%的勒索軟件都是以RDP作為攻擊切入點(diǎn)的���。在這篇文章中,我們將跟大家介紹為何RDP會(huì)成為如此高效的攻擊切入點(diǎn)���,并告訴組織如何提升自己的安全性���。
RDP的歷史
RDP可以追溯到上世紀(jì)90年代,該技術(shù)跟隨Windows NT 4.0一起發(fā)布����,而這個(gè)功能允許IT服務(wù)提供商在任何地方都能夠跟網(wǎng)絡(luò)內(nèi)部的系統(tǒng)進(jìn)行通信����。在當(dāng)時(shí)�����,這種方法不僅大大降低了故障頻率�,而且還減少了服務(wù)支持問(wèn)題的復(fù)雜性。除此之外���,它還為新一代的托管服務(wù)提供商提供了一種無(wú)需與用戶現(xiàn)場(chǎng)見(jiàn)面即可解決問(wèn)題的工具��,并使得業(yè)界能夠迅速擴(kuò)大自己的服務(wù)范圍��。
然而���,和大多數(shù)打著“提升便捷性”為slogen的技術(shù)一樣,RDP也有自己的弱點(diǎn):其中最嚴(yán)重的一點(diǎn)�����,就是它為攻擊者提供了一種新的攻擊向量���。除此之外�����,通過(guò)RDP訪問(wèn)目標(biāo)網(wǎng)絡(luò)能夠避開(kāi)很多終端保護(hù)方案�����,這將使得攻擊者在目標(biāo)網(wǎng)絡(luò)系統(tǒng)內(nèi)的橫向滲透更加容易實(shí)現(xiàn)�����。
入侵RDP
攻擊者可以通過(guò)以下幾種方式入侵RDP:
-
通過(guò)類似Shodan這樣的網(wǎng)站進(jìn)行端口掃描���,然后通過(guò)暴力破解攻擊獲取RDP會(huì)話憑證�����。
-
在類似XDedic這樣的網(wǎng)站上直接購(gòu)買和使用暴力破解服務(wù),獲取RDP會(huì)話憑證��。
-
通過(guò)網(wǎng)絡(luò)釣魚(yú)或社工等方式入侵目標(biāo)組織的員工電腦��,然后利用這種訪問(wèn)權(quán)限來(lái)從網(wǎng)絡(luò)內(nèi)部獲取RDP訪問(wèn)權(quán)����。
在暗網(wǎng)市場(chǎng)上����,有著數(shù)十萬(wàn)個(gè)企業(yè)RDP憑證可隨意購(gòu)買�,只需3美元就可以買到一個(gè)。對(duì)于網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)�����,這種投入是微不足道的���,也就是說(shuō)�,現(xiàn)在通過(guò)RDP來(lái)發(fā)動(dòng)勒索軟件攻擊的成本越來(lái)越低了����。
很多大型組織目前仍在使用RDP,而很多小型企業(yè)卻在沾沾自喜���,因?yàn)樗麄冋J(rèn)為自己太小而不會(huì)成為被攻擊的目標(biāo)�,但他們根本就不知道自己有多么容易被攻擊���。
另一個(gè)需要注意的是�,即使沒(méi)有惡意軟件或勒索軟件的存在,暗網(wǎng)中的企業(yè)網(wǎng)絡(luò)RDP憑證也一直有人在出售���。
如果你發(fā)現(xiàn)自己的企業(yè)網(wǎng)絡(luò)受到了Dharma或SamSam這樣的勒索軟件攻擊����,那說(shuō)明這已經(jīng)是第二波攻擊了�����,因?yàn)樵诘谝徊ü糁心愕腞DP訪問(wèn)憑證已經(jīng)被泄露了…
攻擊向量
RDP所提供的公開(kāi)訪問(wèn)以及橫向訪問(wèn)功能將允許勒索軟件感染目標(biāo)網(wǎng)絡(luò)內(nèi)的所有設(shè)備�����,包括個(gè)人設(shè)備���、服務(wù)器和備份系統(tǒng)在內(nèi)�。
除此之外����,攻擊者還可以利用RDP實(shí)現(xiàn)賬號(hào)提權(quán),并創(chuàng)建RDP會(huì)話�,然后在拿到訪問(wèn)權(quán)限之后安裝和執(zhí)行各種應(yīng)用程序�����。在惡意軟件的幫助下,攻擊者將能夠獲取到目標(biāo)系統(tǒng)的命令控制權(quán)限�����,最終實(shí)現(xiàn)勒索軟件的感染�。
保護(hù)RDP
為了增強(qiáng)RDP的安全性,企業(yè)應(yīng)該從預(yù)防���、響應(yīng)和恢復(fù)這三個(gè)因素出發(fā)進(jìn)行考量:
-
雙因素驗(yàn)證(2FA):給遠(yuǎn)程會(huì)話和所有的遠(yuǎn)程訪問(wèn)賬號(hào)開(kāi)啟雙因素身份驗(yàn)證功能����,可以保護(hù)絕大多數(shù)企業(yè)免受勒索軟件的攻擊���。點(diǎn)擊【這里】了解更多關(guān)于RDP-2FA的內(nèi)容�����。
-
限制訪問(wèn):通過(guò)設(shè)置防火墻來(lái)限制RDP的訪問(wèn)權(quán)�����,使用VPN來(lái)訪問(wèn)��,修改默認(rèn)端口��,或者通過(guò)IP地址白名單來(lái)緩解此類安全風(fēng)險(xiǎn)����。
-
終端替代方案:及時(shí)檢測(cè)網(wǎng)絡(luò)異常(例如在辦公室工作站試圖建立RDP會(huì)話),在攻擊發(fā)生之前阻止可疑行為�。
-
災(zāi)難恢復(fù)(DR)與應(yīng)急響應(yīng)(IR):一個(gè)企業(yè)的RDP配置是否安全,還跟公司的DR和IR方案有關(guān)系���。備份系統(tǒng)應(yīng)該跟公司的網(wǎng)絡(luò)隔離���,而IR方案能夠幫助公司在攻擊發(fā)生時(shí)盡量減少應(yīng)對(duì)的成本和時(shí)間,并以最快速度處理攻擊事件����。
總結(jié)
RDP帶來(lái)的安全風(fēng)險(xiǎn)是非常大的,如果沒(méi)有適當(dāng)?shù)墓芾?��,可能?huì)給企業(yè)帶來(lái)災(zāi)難性的后果���。無(wú)論規(guī)模大小,每一個(gè)組織都應(yīng)該優(yōu)先考慮提升RDP訪問(wèn)的安全保護(hù)����,以避免受到勒索軟件的感染,并造成數(shù)據(jù)和財(cái)產(chǎn)損失���。
