勒索軟體最喜歡的接入點:遠端桌面協議
寫在前面的話
從2018年開始,大家幾乎每天都能聽到關於勒索軟體的訊息。除此之外,勒索軟體的更新和升級也從未停止過,比如說Dharma和SamSam這種殺傷力巨大的勒索軟體,變種版本層出不窮。實際上,在攻擊者入侵了一個企業網路的遠端桌面協議(RDP)埠後,他們將能夠直接在目標網路的主機上安裝勒索軟體。
這種攻擊切入點是由於缺乏安全保護所導致的,一旦存在這樣的安全問題,攻擊者可以利用暴力破解攻擊輕而易舉地滲透進目標網路,並向特定位置上傳勒索軟體。由於通過入侵RDP來實現勒索軟體攻擊的比例越來越大,因此我們需要讓整個社群認識到這個漏洞的重要性。
根據Coveware對2018年第三季度的勒索軟體攻擊評估,已經有超過80%的勒索軟體都是以RDP作為攻擊切入點的。在這篇文章中,我們將跟大家介紹為何RDP會成為如此高效的攻擊切入點,並告訴組織如何提升自己的安全性。
RDP的歷史
RDP可以追溯到上世紀90年代,該技術跟隨Windows NT 4.0一起釋出,而這個功能允許IT服務提供商在任何地方都能夠跟網路內部的系統進行通訊。在當時,這種方法不僅大大降低了故障頻率,而且還減少了服務支援問題的複雜性。除此之外,它還為新一代的託管服務提供商提供了一種無需與使用者現場見面即可解決問題的工具,並使得業界能夠迅速擴大自己的服務範圍。
然而,和大多數打著“提升便捷性”為slogen的技術一樣,RDP也有自己的弱點:其中最嚴重的一點,就是它為攻擊者提供了一種新的攻擊向量。除此之外,通過RDP訪問目標網路能夠避開很多終端保護方案,這將使得攻擊者在目標網路系統內的橫向滲透更加容易實現。
入侵RDP
攻擊者可以通過以下幾種方式入侵RDP:
1、 通過類似Shodan這樣的網站進行埠掃描,然後通過暴力破解攻擊獲取RDP會話憑證。
2、 在類似XDedic這樣的網站上直接購買和使用暴力破解服務,獲取RDP會話憑證。
3、 通過 sary/phishing" rel="nofollow,noindex" target="_blank">網路釣魚 或社工等方式入侵目標組織的員工電腦,然後利用這種訪問許可權來從網路內部獲取RDP訪問權。
在暗網市場上,有著數十萬個企業RDP憑證可隨意購買,只需3美元就可以買到一個。對於網路犯罪分子來說,這種投入是微不足道的,也就是說,現在通過RDP來發動勒索軟體攻擊的成本越來越低了。
很多大型組織目前仍在使用RDP,而很多小型企業卻在沾沾自喜,因為他們認為自己太小而不會成為被攻擊的目標,但他們根本就不知道自己有多麼容易被攻擊。
另一個需要注意的是,即使沒有惡意軟體或勒索軟體的存在,暗網中的企業網路RDP憑證也一直有人在出售。
如果你發現自己的企業網路受到了Dharma或SamSam這樣的勒索軟體攻擊,那說明這已經是第二波攻擊了,因為在第一波攻擊中你的RDP訪問憑證已經被洩露了…
攻擊向量
RDP所提供的公開訪問以及橫向訪問功能將允許勒索軟體感染目標網路內的所有裝置,包括個人裝置、伺服器和備份系統在內。
除此之外,攻擊者還可以利用RDP實現賬號提權,並建立RDP會話,然後在拿到訪問許可權之後安裝和執行各種應用程式。在惡意軟體的幫助下,攻擊者將能夠獲取到目標系統的命令控制權限,最終實現勒索軟體的感染。
保護RDP
為了增強RDP的安全性,企業應該從預防、響應和恢復這三個因素出發進行考量:
1、 雙因素驗證(2FA):給遠端會話和所有的遠端訪問賬號開啟雙因素身份驗證功能,可以保護絕大多數企業免受勒索軟體的攻擊。點選【 這裡 】瞭解更多關於RDP-2FA的內容。
2、 限制訪問:通過設定防火牆來限制RDP的訪問權,使用VPN來訪問,修改預設埠,或者通過IP地址白名單來緩解此類安全風險。
3、 終端替代方案:及時檢測網路異常(例如在辦公室工作站試圖建立RDP會話),在攻擊發生之前阻止可疑行為。
4、 災難恢復(DR)與應急響應(IR):一個企業的RDP配置是否安全,還跟公司的DR和IR方案有關係。備份系統應該跟公司的網路隔離,而IR方案能夠幫助公司在攻擊發生時儘量 減少應對的成本和時間 ,並以最快速度處理攻擊事件。
總結
RDP帶來的安全風險是非常大的,如果沒有適當的管理,可能會給企業帶來災難性的後果。無論規模大小,每一個組織都應該優先考慮提升RDP訪問的安全保護,以避免受到勒索軟體的感染,並造成資料和財產損失。
*參考來源: duo ,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM