大家?guī)缀趺刻於寄苈牭疥P(guān)于勒索軟件的消息。除此之外，勒索軟件的更新和升級(jí)也從未停止過(guò)，比如說(shuō)Dharma和SamSam這種殺傷力巨大的勒索軟件，變種版本層出不窮。實(shí)際上，在攻擊者入侵了一個(gè)企業(yè)網(wǎng)絡(luò)的遠(yuǎn)程桌面協(xié)議(RDP)端口后，他們將能夠直接在目標(biāo)網(wǎng)絡(luò)的主機(jī)上安裝勒索軟件。

這種攻擊切入點(diǎn)是由于缺乏安全保護(hù)所導(dǎo)致的，一旦存在這樣的安全問(wèn)題，攻擊者可以利用暴力破解攻擊輕而易舉地滲透進(jìn)目標(biāo)網(wǎng)絡(luò)，并向特定位置上傳勒索軟件。由于通過(guò)入侵RDP來(lái)實(shí)現(xiàn)勒索軟件攻擊的比例越來(lái)越大，因此我們需要讓整個(gè)社區(qū)認(rèn)識(shí)到這個(gè)漏洞的重要性。根據(jù)Coveware對(duì)2018年第三季度的勒索軟件攻擊評(píng)估，已經(jīng)有超過(guò)80%的勒索軟件都是以RDP作為攻擊切入點(diǎn)的。

RDP的歷史
RDP可以追溯到上世紀(jì)90年代，該技術(shù)跟隨Windows NT 4.0一起發(fā)布，而這個(gè)功能允許IT服務(wù)提供商在任何地方都能夠跟網(wǎng)絡(luò)內(nèi)部的系統(tǒng)進(jìn)行通信。在當(dāng)時(shí)，這種方法不僅大大降低了故障頻率，而且還減少了服務(wù)支持問(wèn)題的復(fù)雜性。除此之外，它還為新一代的托管服務(wù)提供商提供了一種無(wú)需與用戶現(xiàn)場(chǎng)見面即可解決問(wèn)題的工具，并使得業(yè)界能夠迅速擴(kuò)大自己的服務(wù)范圍。

然而，和大多數(shù)打著“提升便捷性”為slogen的技術(shù)一樣，RDP也有自己的弱點(diǎn)：其中最嚴(yán)重的一點(diǎn)，就是它為攻擊者提供了一種新的攻擊向量。除此之外，通過(guò)RDP訪問(wèn)目標(biāo)網(wǎng)絡(luò)能夠避開很多終端保護(hù)方案，這將使得攻擊者在目標(biāo)網(wǎng)絡(luò)系統(tǒng)內(nèi)的橫向滲透更加容易實(shí)現(xiàn)。

入侵RDP
攻擊者可以通過(guò)以下幾種方式入侵RDP：
1、通過(guò)類似Shodan這樣的網(wǎng)站進(jìn)行端口掃描，然后通過(guò)暴力破解攻擊獲取RDP會(huì)話憑證。
2、在類似XDedic這樣的網(wǎng)站上直接購(gòu)買和使用暴力破解服務(wù)，獲取RDP會(huì)話憑證。
3、通過(guò)網(wǎng)絡(luò)釣魚或社工等方式入侵目標(biāo)組織的員工電腦，然后利用這種訪問(wèn)權(quán)限來(lái)從網(wǎng)絡(luò)內(nèi)部獲取RDP訪問(wèn)權(quán)。

在暗網(wǎng)市場(chǎng)上，有著數(shù)十萬(wàn)個(gè)企業(yè)RDP憑證可隨意購(gòu)買，只需3美元就可以買到一個(gè)。也就是說(shuō)，現(xiàn)在通過(guò)RDP來(lái)發(fā)動(dòng)勒索軟件攻擊的成本越來(lái)越低了。很多大型組織目前仍在使用RDP，而很多小型企業(yè)卻在沾沾自喜，因?yàn)樗麄冋J(rèn)為自己太小而不會(huì)成為被攻擊的目標(biāo)，但他們根本就不知道自己有多么容易被攻擊。

攻擊向量
RDP所提供的公開訪問(wèn)以及橫向訪問(wèn)功能將允許勒索軟件感染目標(biāo)網(wǎng)絡(luò)內(nèi)的所有設(shè)備，包括個(gè)人設(shè)備、服務(wù)器和備份系統(tǒng)在內(nèi)。除此之外，攻擊者還可以利用RDP實(shí)現(xiàn)賬號(hào)提權(quán)，并創(chuàng)建RDP會(huì)話，然后在拿到訪問(wèn)權(quán)限之后安裝和執(zhí)行各種應(yīng)用程序。在惡意軟件的幫助下，攻擊者將能夠獲取到目標(biāo)系統(tǒng)的命令控制權(quán)限，最終實(shí)現(xiàn)勒索軟件的感染。

保護(hù)RDP
為了增強(qiáng)RDP的安全性，企業(yè)應(yīng)該從預(yù)防、響應(yīng)和恢復(fù)這三個(gè)因素出發(fā)進(jìn)行考量：

雙因素驗(yàn)證(2FA)：給遠(yuǎn)程會(huì)話和所有的遠(yuǎn)程訪問(wèn)賬號(hào)開啟雙因素身份驗(yàn)證功能，可以保護(hù)絕大多數(shù)企業(yè)免受勒索軟件的攻擊。
限制訪問(wèn)：通過(guò)設(shè)置防火墻來(lái)限制RDP的訪問(wèn)權(quán)，使用VPN來(lái)訪問(wèn)，修改默認(rèn)端口，或者通過(guò)IP地址白名單來(lái)緩解此類安全風(fēng)險(xiǎn)。
終端替代方案：及時(shí)檢測(cè)網(wǎng)絡(luò)異常，在攻擊發(fā)生之前阻止可疑行為。
災(zāi)難恢復(fù)與應(yīng)急響應(yīng)：一個(gè)企業(yè)的RDP配置是否安全，還跟公司的DR和IR方案有關(guān)系。備份系統(tǒng)應(yīng)該跟公司的網(wǎng)絡(luò)隔離，而IR方案能夠幫助公司在攻擊發(fā)生時(shí)盡量減少應(yīng)對(duì)的成本和時(shí)間，并以最快速度處理攻擊事件。

RDP帶來(lái)的安全風(fēng)險(xiǎn)是非常大的，如果沒(méi)有適當(dāng)?shù)墓芾恚赡軙?huì)給企業(yè)帶來(lái)災(zāi)難性的后果。無(wú)論規(guī)模大小，每一個(gè)組織都應(yīng)該優(yōu)先考慮提升RDP訪問(wèn)的安全保護(hù)，以避免受到勒索軟件的感染，并造成數(shù)據(jù)和財(cái)產(chǎn)損失。

ice

收藏 海報(bào)分享