RDP 攻击正在路上,你的默认端口还是3389吗?
互联网犯罪投诉中心(IC3)与美国国土安全部和FBI合作,发布了有关通过Windows远程桌面协议进行攻击的安全警报。虽然RDP最常见的攻击与勒索软件有关,但攻击者还会侵入暴露的RDP服务以进行企业盗窃,安装后门或将此项攻击作为其他攻击的跳板。
美国US-Cert警告:
随着黑市开始销售RDP Access以来,远程管理工具,例如远程桌面协议(RDP),作为一种攻击媒介,自2016年中期以来销量一直在上升。
攻击者已经开发出通过互联网识别和利用易受攻击的RDP会话,以破坏身份、窃取登录凭据和勒索其他敏感信息的方法。联邦调查局(FBI)和国土安全部(DHS)推荐企业和私人公民审查并了解他们的网络允许的远程访问,并采取措施降低妥协的可能性,其中可能包括在不需要时禁用RDP。
2017年4月27日,xDedic犯罪市场就以每台服务器6美元的价格销售被黑客入侵的远程桌面服务帐户。RDP 的销量至今仍在增长。
2016年6月,网络上曝光了xDedic黑市,这是一个销售或租用黑客服务器的市场。
许多人认为xDedic会死掉。但实际上,该服务在关闭了几个星期后,在黑Dark Web上重新上线,并继续以平均价格6美元的价格销售黑客服务器。
在它曝光的时候,卡巴斯基专家渗透了这项服务,在一份长达25页的报告中透露,该网站用于销售超过70,000台黑客服务器,其中绝大多数都是通过开放的不安全RDP连接进行攻击。
互联网连接设备搜索引擎Shodan.io也表明,有超过200万台计算机运行远程桌面并直接连接到互联网。这些服务器十分容易被黑客入侵。
因为这些勒索软件攻击的目标是整个网络,而不是单个计算机。而且黑客常常标价3,000美元到5,000美元的来解密一台计算机或者高达50,000美元来解密整个网络。因此这些攻击非常容易抓取公众的眼球。
例如,美国PGA,圣地亚哥港,亚特兰大和众多医院的勒索软件攻击最有可能通过互联网上暴露的远程桌面服务器执行。因此,利用RDP的组织机构能够保护这些服务器就变得非常重要。
保护远程桌面服务器
对企业而言,使用远程桌面服务不可或缺,所以说不能因为存在风险就不去使用它。而是说,如果需要使用RDP,那就应该采取正确的措施去保护它。
以下几种方法,可以使用户的远程桌面服务器免受攻击。
方法一:切勿将RDP服务器直接暴露在互联网中
企业和机构应将RDP服务器隐藏在VPN 或防火墙后,保证只有认证过的用户可以使用。
这样做也会使查找服务器和发起暴力攻击变得更加困难(攻击者在尝试猜测密码时会反复登录到服务器)。
如果可以,还应将RDP的TCP端口从默认端口3389更改为非标准端口。
如何更改终端服务或远程桌面端口:
https://www.bleepingcomputer.com/tutorials/change-terminal-services-remote-desktop-port/
方法二:使用强密码和多重身份验证
在远程桌面攻击过程中,黑客通常会进行暴力破解密码直到猜中,因此所有用户都必须拥有足够强大而复杂的密码。这可以使用Windows中的强密码策略强制执行。
(图片来源:bleepingcomputer)
Windows-密码策略的最佳实践:
https://technet.microsoft.com/en-us/library/ff741764.aspx
为了进一步增强保护,组织还应考虑向域logins.d添加多因素身份验证。
方法三:启用帐户锁定策略
正常情况下,可以通过使用帐户锁定策略来防止暴力攻击。这些策略使某个帐户进行一定数量的失败登录后暂时无法登录。
(图片来源:bleepingcomputer)
Windows-账户锁定政策:
https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-lockout-policy
由于暴力攻击依赖于反复尝试使用不同密码登录帐户,因此使用锁定策略会阻止此操作。
方法四:启用账户登陆审核
通过启用帐户审核策略,管理员可以深入了解哪些帐户重复登录尝试失败。这使管理员可以查明可能存在攻击的帐户。
(图片来源:Microsoft)
Windows 高级安全审核策略设置:
https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
方法五:安装安全更新
最后,尤其重要,更新,更新,更新。不止要安装安全更新,还应该尽快安装。
参考来源:
bleepingcomputer
Microsoft
- End -
往期热门资讯:
扫描二维码,获得更多新鲜资讯!