緩解遠端桌面協議(RDP)攻擊的7條建議
背景介紹
·2016年6月,卡巴斯基實驗室研究人員揭露,黑客利用遠端桌面協議(RDP)竊取85,000臺來自醫院、學校、航空公司和政府機構的伺服器,還公開在地下黑市販賣;
· 2017年4月,黑客利用RDP終端與俄羅斯銀行的8臺ATM機建立連線,吐出80萬美元存款;
· 2017年6月,勒索軟體SamSam也是使用RDP成功感染了大約7,000臺Windows PC和1,900臺伺服器;
· 2017年8月,根據Rapid7 公司安全專家進行的一項研究結果顯示,截至2017年7月,全球仍有410萬個遠端桌面協議(RDP)終端公開暴露在網路上,可以想象,如果企業沒有妥善保護RDP,網路和端點安全將受到嚴重威脅;
· 2018年3月,微軟遠端桌面協議(RDP)再曝安全漏洞,幾乎所有版本的Windows作業系統都受其影響,可能允許遠端攻擊者利用遠端桌面協議(RDP)和Windows遠端管理(WinRM)竊取資料並執行惡意程式碼。
近年來,遠端桌面協議(RDP)中發現的漏洞讓大家將目光都聚焦在它身上,種種案例也都表明RDP終端已經成為黑客入侵電腦的管道,也成為勒索軟體最主要的攻擊媒介。2018年9月,網際網路犯罪投訴中心(IC3)與FBI和DHS就合作釋出了一項警報,原因是越來越多的勒索軟體和資料盜竊事件利用遠端桌面協議(RDP)作為攻擊媒介。
攻擊者不僅反覆利用暴露於網際網路的RDP服務,在屬於眾多主要組織的系統和網路上安裝勒索軟體,還利用RDP在企業系統上安裝加密工具、鍵盤記錄程式、後門程式以及其他惡意軟體。如今,許多攻擊者已經通過RDP服務在企業網路中建立了立足點,以提升特權、收集憑證、在受損環境中橫向移動,併為誤導目的設定錯誤標記。
在下述這篇文章中,我們將簡要的探討什麼是RDP以及RDP攻擊?為什麼我們需要RDP?它用於企業端點的最常見方式有哪些?然後,我們將探討企業如何確保RDP的安全使用,或者在適當的時候,如何確保它沒有被使用。
什麼是RDP?
遠端桌面協議是Microsof(微軟)公司建立的專有協議。它允許系統使用者通過圖形使用者介面連線到遠端系統。在預設情況下,該協議的客戶端代理內建在微軟的作業系統中,但也可以安裝在非微軟作業系統中,例如蘋果的作業系統、不同版本的Linux,甚至還可以安裝在移動作業系統中,例如Android。
RDP的伺服器端安裝在微軟作業系統上,從客戶端代理接收請求,顯示釋出應用程式的圖,或者遠端訪問系統本身。在預設情況下,系統在埠3389來監聽來自客戶端的通過RDP的連線請求。
RDP在企業的最常用方式?
通常情況下,RDP或者終端服務會話被配置在需要分散式客戶端機器來連線的伺服器上。它可以用於管理、遠端訪問,或者釋出用於中央使用的應用程式。該協議還常被桌面管理員用來遠端訪問使用者系統,以協助排除故障。如果RDP沒有正確配置的話,這種特定功能將會給企業帶來威脅,因為未授權訪問者將可以訪問關鍵企業系統。
什麼是RDP攻擊?
在RDP攻擊中,犯罪分子會主動尋找不安全的RDP服務來利用和訪問企業網路。通常來說,想要實現RDP攻擊非常容易,因為許多組織根本無法保護RDP服務免受未經授權的訪問。
安全自動化和事件響應技術提供商Demisto的聯合創始人Rishi Bhargava表示,
成功的RDP攻擊帶來的回報是巨大的!攻擊者一旦成功訪問了RDP,其所能影響的裝置範圍將十分廣泛,獲取的收益也就不言而喻了。
RDP攻擊發展趨勢:自動化
攻擊者喜歡以RDP為目標,因為這種協議非常易於使用,並且能夠提供完全控制受損系統的機會。更重要的是,它使攻擊者能夠通過平常用於合法目的的協議來訪問系統,因此,防禦者更難以檢測到這種惡意活動。
Microsoft RDP為使用者提供了一種“從執行Windows的另一臺計算機連線到遠端Windows系統”的方法。它提供遠端顯示和輸入功能,允許個人訪問和使用遠端Windows系統,就像他們實際坐在裝置前面一樣。例如,通過RDP,您可以使用家用Windows PC訪問工作計算機,並在其上執行與工作相同的任務。
組織通常可以遠端訪問裝置,因此支援人員可以訪問它們以解決問題並修復問題,而無需物理接觸系統。雖然該功能非常有用,但許多組織無法正確保護可訪問遠端桌面的帳戶,例如,不要求強密碼,不啟用網路級別身份驗證,也不限制可通過遠端桌面登入的使用者等等。
特權帳戶管理工具提供商Thycotic的首席安全科學家Joseph Carson表示,
許多公司通常會預設啟用RDP。雖然該服務通常提供管理員級別的系統訪問許可權,但保護它的唯一安全控制措施通常只有一個簡單的密碼。
攻擊者只需要使用暴力破解和彩虹表的方式,就能夠輕易的破解這些弱口令,從而獲取對系統的完全訪問許可權,以實現竊取敏感資料、植入惡意軟體等惡意目的。Carson表示,
只需掃描已啟用RDP服務的網際網路連線裝置,就能輕易的線上找到這些系統,並實施各種惡意操作。
除此之外,攻擊者也可以簡單的從其他犯罪分子手中購買密碼。近年來,眾多暗網市場如雨後春筍般湧現,並以低至3美元的價格出售受損的RDP伺服器訪問許可權。安全廠商McAfee和Flashpoint就曾報道稱,在一家名為Ultimate Anonymity Service(UAS)的商店中,就銷售用於訪問全球35,000至40,000臺RDP伺服器的密碼,其中包括屬於政府、醫療保健和其他主要組織的伺服器。
Flashpoint高階分析師Luke Rodeheffer表示,
一個明顯的趨勢是,通過暴力破解軟體和工具(旨在同時控制大量伺服器)可以實現針對RDP伺服器的自動化過程。
7條緩解建議
鑑於上述趨勢,安全專家建議您可以通過下述措施緩解RDP攻擊對企業造成的影響:
1. 使用強密碼
使用強大的使用者名稱和密碼進行RDP訪問。Sophos公司首席研究科學家Chet Wisniewski表示,對於緩解RDP攻擊而言,使用長而安全的密碼組合是一個非常好的辦法。尤其是對於管理賬戶而言,還需要啟用雙因素身份驗證,並始終隱藏VPN後的訪問許可權。
Wisniewski稱,
切勿直接在網際網路上暴露遠端訪問工具。雖然此舉可能會帶來一些不便,但是與凌晨3點還要爬起來加班處理安全事故相比,這點不便應該算不上什麼問題。
僅從預設的“admin / administrator”更改登入憑據,可以顯著降低暴力攻擊成功率。
2. 實施基於角色的訪問控制
組織需要限制具有RDP控制檯管理員訪問許可權的使用者數,此外,還需要限制具有此類訪問許可權的使用者的具體許可權。Demisto公司的Bhargava表示,
基於角色的細粒度訪問控制,將有助於最大限度的減少攻擊者獲取訪問許可權後可能造成的傷害等級。
3. 為RDP啟用網路級別身份驗證(NLA)
網路級別身份驗證可以提供額外的保護層。啟用NLA後,任何嘗試通過RDP連線到遠端系統的使用者都需要在建立會話前,先對其身份進行驗證。Arntz表示,
切勿禁用網路級別身份驗證,因為它可以提供額外的身份驗證級別。如果您還沒有啟用它的話,建議您立即啟用!
4. 更改RDP埠
像Shodan這樣的伺服器,允許攻擊者可以輕鬆的找到暴露在網路上的執行RDP的系統。對此,Malwarebytes的首席情報記者Pieter Arntz表示,更改您的RDP埠可以確保那些搜尋開放式RDP埠的埠掃描器不會掃描到您的RDP系統。預設情況下,伺服器會在埠3389上偵聽TCP和UDP。
Flashpoint公司的Rodeheffer還警告稱,
與此同時,組織還應該意識到,目前針對RDP伺服器的軟體不僅會針對RDP埠3389,而且還會針對非標準埠。因此,密切關注網路日誌中針對RDP埠的暴力攻擊活動也是至關重要的一步。
5. 跟蹤您的RDP伺服器
瞭解您的網路環境中哪些系統啟用了RDP服務。您需要確保網路上沒有流氓或未經批准的RDP伺服器,尤其是直接連線到網際網路的任何東西。自動威脅管理提供商Vectra的高階產品經理Jacob Sendowski表示,
您可以考慮在RDP伺服器日誌上啟用日誌記錄和監控功能,以便了解誰在訪問RDP。監控RDP網路流量以獲取異常訪問,異常連線和會話特性,有助於檢視對RDP服務的任何濫用情況。
6. 使用RDP閘道器
RDP閘道器通常安裝在公司網路內。閘道器的功能是安全的將流量從遠端客戶端傳遞到本地裝置。它可以幫助組織確保只有授權使用者才能使用RDP,並控制他們有權訪問的裝置。Bhargava表示,使用RDP閘道器可以防止或最小化遠端使用者訪問,並使組織能夠更好的控制使用者角色,訪問許可權和身份驗證需求。
一旦發生安全事故,並且您正試圖找出可能導致這些事故的原因,那麼來自這些系統的RDP會話日誌就能夠發揮作用了。Arntz還補充道,由於日誌不在受感染的計算機上,因此攻擊者無法輕易修改它們。
7. 做好應對早期症狀的準備
您需要制定機制來發現RDP攻擊並快速停止它。例如,您可以考慮實施能夠發現對RDP系統的重複登入嘗試的安全工具。Bhargava指出,您需要擁有一個自動化手冊來快速驗證嘗試登入的使用者及其IP地址,以及一種能夠在檢測到惡意意圖時自動關閉訪問的機制。
Sendowski表示,
組織需要意識到攻擊者將會把目標瞄準他們的RDP基礎設施,不僅是為了安裝勒索軟體和加密礦工等機會性攻擊,有可能還作為目標性攻擊的一部分。RDP是遠端訪問的絕佳工具,不僅能夠授權僱員,同時也能賦予攻擊者完全訪問許可權。