越來越多的黑客使用RDP建立網路隧道來繞過安全保護措施
據國外安全機構報告稱,越來越多的黑客利用遠端桌面協議(RDP)使用網路隧道和基於主機的埠轉發來繞過網路保護進行攻擊。
眾所周知,RDP是Microsoft Windows元件, 遠端桌面協議(RDP, Remote Desktop Protocol)是一個多通道(multi-channel)的協議,讓使用者(客戶端或稱“本地電腦”)連上提供微軟終端機服務的電腦(伺服器端或稱“遠端電腦”)。大部分的Windows都有客戶端都提供遠端桌面所需軟體。其他作業系統也有相應的客戶端軟體,如Linux、FreeBSD、MacOS X。服務端電腦方面,通過則監聽TCP3389埠的資料,以建立遠端連線。然而,技術本身是無善惡的,黑客一直將該技術用於邪惡的目的,並且這種趨勢繼續保持上升,另外利用RDP進行攻擊,又不同於其他後門容易發現發現。
與非圖形後門相比,黑客更喜歡RDP的穩定性和功能性優勢,黑客使用本機Windows RDP實用程式,在受到破壞的環境中跨系統進行橫向攻擊。 使用RDP遠端訪問的功能進行攻擊,需要不同的攻擊向量用於初始攻擊(如網路釣魚)。此外,為了攻擊受防火牆和NAT規則保護的非暴露在網際網路的系統,黑客越來越多地使用網路隧道和基於主機的埠轉發進行攻擊。允許攻擊者與被防火牆阻止的遠端伺服器建立連線,並濫用該連線作為傳輸機制,通過防火牆“隧道”偵聽本地服務,從而使遠端伺服器可以訪問。
PuTTY Link或Plink是用於隧道RDP會話的一個實用程式,允許攻擊者與其他系統建立安全shell(SSH)網路連線。由於許多IT環境要麼不對協議進行檢查,要麼不阻止從其網路出站的SSH通訊,攻擊者可以使用該工具建立加密隧道並與命令和控制(C&C)伺服器建立RDP連線。
黑客利用RDP會話在環境中還可以橫向移動,進行橫向攻擊,觀察到攻擊者可以使用本機Windows網路外殼(netsh)命令結合使用RDP埠轉發進行網路發現。如,黑客可以配置跳轉框以偵聽任意埠,以便從先前控制的系統傳送流量,流量將通過跳轉框直接轉發到分段網路上的任何系統,使用任何指定的埠,包括預設的RDP埠TCP 3389。 基於主機和基於網路的預防和檢測機制應該為組織提供減輕此類RDP攻擊所需的手段。
其中,在不需要使用遠端桌面服務時將其禁用,啟用基於主機的防火牆規則以拒絕入站RDP連線,以及防止在工作站上使用RDP與本地帳戶有助於提高安全性。可以通過檢視登錄檔項、事件日誌和其他資訊有助於檢測此類攻擊。 網路層面,管理員應強制使用白名單策略進行管理伺服器啟動RDP連線,防止特權帳戶用於RDP,檢視防火牆規則以識別埠轉發漏洞,檢查網路流量的內容,以及設定Snort規則用於識別其網路流量中的RDP隧道。
雖然,RDP使IT環境能夠為使用者提供簡便自由和互操作性。但隨著越來越多的黑客使用RDP跨系統進行網路橫向移動攻擊,組織的安全團隊正面臨著是如何破解合法使用和惡意RDP流量的挑戰。應提高安全意識,採取基於主機和網路的適當預防和檢測方法來進行主動監控。
我們知道利用RDP攻擊只是進入系統的途徑之一,而後續的攻擊或許會結合惡意加密病毒、惡意挖礦、竊取資料等等惡意手段,對系統與網路進行攻擊。如昨天寫的“ GandCrab勒索病毒軟體和Ursnif病毒通過MS Word巨集傳播 ”則是對勒索病毒展開的,結合最近國內國際發生的網路安全事件,故在臨近年關,每一個組織與單位甚至個人,都應該提高安全意識,做好安全防護工作,開開心心過春節。