越來越多的黑客使用RDP建立網路隧道來繞過安全保護措施

據國外安全機構報告稱，越來越多的黑客利用遠端桌面協議(RDP)使用網路隧道和基於主機的埠轉發來繞過網路保護進行攻擊。

眾所周知，RDP是Microsoft Windows元件， 遠端桌面協議(RDP, Remote Desktop Protocol)是一個多通道(multi-channel)的協議，讓使用者(客戶端或稱“本地電腦”)連上提供微軟終端機服務的電腦(伺服器端或稱“遠端電腦”)。大部分的Windows都有客戶端都提供遠端桌面所需軟體。其他作業系統也有相應的客戶端軟體，如Linux、FreeBSD、MacOS X。服務端電腦方面，通過則監聽TCP3389埠的資料，以建立遠端連線。然而，技術本身是無善惡的，黑客一直將該技術用於邪惡的目的，並且這種趨勢繼續保持上升，另外利用RDP進行攻擊，又不同於其他後門容易發現發現。

與非圖形後門相比，黑客更喜歡RDP的穩定性和功能性優勢，黑客使用本機Windows RDP實用程式，在受到破壞的環境中跨系統進行橫向攻擊。 使用RDP遠端訪問的功能進行攻擊，需要不同的攻擊向量用於初始攻擊(如網路釣魚)。此外，為了攻擊受防火牆和NAT規則保護的非暴露在網際網路的系統，黑客越來越多地使用網路隧道和基於主機的埠轉發進行攻擊。允許攻擊者與被防火牆阻止的遠端伺服器建立連線，並濫用該連線作為傳輸機制，通過防火牆“隧道”偵聽本地服務，從而使遠端伺服器可以訪問。

PuTTY Link或Plink是用於隧道RDP會話的一個實用程式，允許攻擊者與其他系統建立安全shell(SSH)網路連線。由於許多IT環境要麼不對協議進行檢查，要麼不阻止從其網路出站的SSH通訊，攻擊者可以使用該工具建立加密隧道並與命令和控制(C&C)伺服器建立RDP連線。

黑客利用RDP會話在環境中還可以橫向移動，進行橫向攻擊，觀察到攻擊者可以使用本機Windows網路外殼(netsh)命令結合使用RDP埠轉發進行網路發現。如，黑客可以配置跳轉框以偵聽任意埠，以便從先前控制的系統傳送流量，流量將通過跳轉框直接轉發到分段網路上的任何系統，使用任何指定的埠，包括預設的RDP埠TCP 3389。 基於主機和基於網路的預防和檢測機制應該為組織提供減輕此類RDP攻擊所需的手段。

其中，在不需要使用遠端桌面服務時將其禁用，啟用基於主機的防火牆規則以拒絕入站RDP連線，以及防止在工作站上使用RDP與本地帳戶有助於提高安全性。可以通過檢視登錄檔項、事件日誌和其他資訊有助於檢測此類攻擊。 網路層面，管理員應強制使用白名單策略進行管理伺服器啟動RDP連線，防止特權帳戶用於RDP，檢視防火牆規則以識別埠轉發漏洞，檢查網路流量的內容，以及設定Snort規則用於識別其網路流量中的RDP隧道。

雖然，RDP使IT環境能夠為使用者提供簡便自由和互操作性。但隨著越來越多的黑客使用RDP跨系統進行網路橫向移動攻擊，組織的安全團隊正面臨著是如何破解合法使用和惡意RDP流量的挑戰。應提高安全意識，採取基於主機和網路的適當預防和檢測方法來進行主動監控。

我們知道利用RDP攻擊只是進入系統的途徑之一，而後續的攻擊或許會結合惡意加密病毒、惡意挖礦、竊取資料等等惡意手段，對系統與網路進行攻擊。如昨天寫的“ GandCrab勒索病毒軟體和Ursnif病毒通過MS Word巨集傳播 ”則是對勒索病毒展開的，結合最近國內國際發生的網路安全事件，故在臨近年關，每一個組織與單位甚至個人，都應該提高安全意識，做好安全防護工作，開開心心過春節。