《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 診斷勒索軟件部署協(xié)議(RDP)

診斷勒索軟件部署協(xié)議(RDP)

2021-10-26
來源:嘶吼專業(yè)版
關(guān)鍵詞: 勒索軟件 RDP

  前言

  遠程桌面協(xié)議(RDP)是最流行的初始勒索軟件攻擊媒介,并且多年來一直如此。針對2020年Unit 42事件響應(yīng)和數(shù)據(jù)泄露報告,Unit 42研究了1,000多起事件的數(shù)據(jù),發(fā)現(xiàn)在50%的勒索軟件部署案例中,RDP是最初的攻擊媒介。在2021年Cortex Xpanse攻擊面威脅報告中,Cortex Xpanse研究人員發(fā)現(xiàn)RDP占總暴露的30%,是第二位最常見暴露的兩倍多。

  RDP是Microsoft Windows系統(tǒng)上的一種協(xié)議,旨在允許用戶遠程連接和控制遠程系統(tǒng)。最常見的合法用途是允許IT支持遠程控制用戶的系統(tǒng)以解決問題。最近,RDP在云計算中變得流行,用于訪問云環(huán)境中的虛擬機(VM)或遠程管理云資產(chǎn)。

  如果將RDP公開在一個被遺忘的系統(tǒng)、云實例、先前受網(wǎng)絡(luò)分段保護或通過直接連接到互聯(lián)網(wǎng)的設(shè)備上,就很容易在無意中暴露RDP。更糟糕的是,RDP已變得更廣泛、更暴露并且具有更普遍的風險,可能導(dǎo)致攻擊(特別是勒索軟件部署)、數(shù)據(jù)丟失、代價高昂的停機時間和補救工作,以及對組織的品牌損害。

  更多的暴露意味著更大的風險

  COVID-19大流行首先導(dǎo)致在家工作人數(shù)的激增,這意味著筆記本電腦從帶有防火墻的辦公網(wǎng)絡(luò)的安全空間轉(zhuǎn)移到從未考慮過安全性的家庭網(wǎng)絡(luò)。

  IT還沒有為這種轉(zhuǎn)變做好準備,因此必須購買新的筆記本電腦并很快將其發(fā)送給遠程工作人員。這意味著風險和更多的RDP暴露。向遠程工作的轉(zhuǎn)變也加劇了與臨時動態(tài)DNS相關(guān)的風險。

  具有分配IP地址的辦公網(wǎng)絡(luò)上的計算機易于清點和跟蹤。在個人家庭中,隨著互聯(lián)網(wǎng)服務(wù)提供商(ISP)動態(tài)分配地址,計算機的IP地址每天都會發(fā)生變化。而且,這些設(shè)備可以從家里移動到咖啡店或朋友家,然后再返回,每次都會獲得一個新的IP地址。盡管這長期以來一直是一個風險,但現(xiàn)在遠程工作者比以往任何時候都多,因此風險也就越大。

  2021年1月的Unit 42云威脅報告發(fā)現(xiàn),從Q1 2020(預(yù)COVID-19)至Q2 2020(后COVID-19)所有云供應(yīng)商RDP暴露的風險增加了59%。啟動新的云實例比以往任何時候都容易,同時出錯的可能性也會增加。

  所以,RDP無處不在。RDP是威脅參與者的主要目標,并且,RDP通常是勒索軟件攻擊的初始攻擊媒介。不幸的是,根據(jù)Cortex Xpanse的報告,在對2021年前三個月與50家全球企業(yè)相關(guān)的5000萬個IP地址的掃描中發(fā)現(xiàn),RDP占到了整體安全問題的32%。

  為什么RDP如此危險?

  RDP是威脅參與者最喜歡的目標,因為一旦攻擊者進入,他們就可以完全訪問系統(tǒng)(甚至可以達到被盜用戶帳戶的級別)。如果管理員帳戶受到攻擊,那將是一場災(zāi)難。即使更受限制的用戶帳戶遭到入侵,攻擊者也只需要在該系統(tǒng)上找到另一個漏洞來提升權(quán)限并獲得更多訪問權(quán)限。

  對于惡意行為者來說,要找到暴露的RDP需要一個簡單的nmap腳本,該腳本會掃描Internet上的開放端口3389(默認RDP端口)。今天,攻擊者正在不斷掃描3389端口,如圖X所示?! ?/p>

微信圖片_20211026141217.jpg

根據(jù)Cortex Xpanse的研究,攻擊者可以在45分鐘內(nèi)掃描整個互聯(lián)網(wǎng)。所以一旦RDP暴露了,攻擊者就會發(fā)現(xiàn)并且通過多種方式進入:

  · 使用竊取的憑據(jù)登錄。

  · 強制登錄(如果實現(xiàn)允許無限制的登錄嘗試)。

  · 如果RDP版本過時或使用有缺陷的加密,則執(zhí)行中間人攻擊。

  · 利用舊版RDP中的已知漏洞,例如BlueKeep。

  避免勒索軟件彩票

  惡意行為者并不總是針對特定目標,通常情況下,他們只是在尋找那些通過攻擊能帶來回報的漏洞。勒索軟件就像是一種邪惡的彩票系統(tǒng),您只需打開門就可以進行游戲,例如RDP。

  任何組織的第一步都是通過比對手更快地掃描漏洞來規(guī)避RDP風險,并確保對所有連接互聯(lián)網(wǎng)的設(shè)備具有完全的可見性和完整的記錄系統(tǒng)。如果這些漏洞存在于外部IP空間中,則漏洞掃描程序無法找到它們,因此您需要從外向內(nèi)進行掃描。很多較為先進的公司使用平均庫存時間(MTTI)來衡量他們掃描完整庫存和評估潛在風險的速度。

  確保您沒有不必要的RDP暴露的第一種方法是在所有不需要的系統(tǒng)上簡單地禁用RDP。對于需要RDP的系統(tǒng),請遵循以下安全措施:

  · 將RDP置于虛擬專用網(wǎng)絡(luò)(VPN)之后。

  · 啟用多重身份驗證(MFA)。降低與被盜憑據(jù)相關(guān)的風險的最佳方法是確保在所有用戶帳戶上啟用MFA。

  · 限制登錄嘗試。同樣,為了降低暴力攻擊的風險,限制失敗的登錄嘗試,禁止無限制的嘗試。

  · 為斷開連接的會話設(shè)置時間限制并自動結(jié)束達到該限制的會話。

  · 考慮允許列表,以便只有經(jīng)過批準的IP地址才能連接到RDP服務(wù)器。

  · 部署互聯(lián)網(wǎng)規(guī)模的攻擊面監(jiān)控解決方案,例如Cortex Xpanse,以監(jiān)控RDP或其他遠程訪問服務(wù)的意外暴露。

  優(yōu)先考慮RDP

  到現(xiàn)在為止,應(yīng)該清楚為什么RDP=勒索軟件部署協(xié)議。RDP配置應(yīng)該是所有IT衛(wèi)生計劃中的一個高優(yōu)先級項目。它是一種具有危險默認設(shè)置的協(xié)議,用戶很容易以危險的方式啟用或使用。

  如果配置不當,并且您的組織很不幸的成為勒索軟件運營商的目標時,RDP將被用作攻擊媒介。這不是理論上的風險,這是一個簡單且確定的事實。

  無論您是否打算公開RDP,這些暴露都發(fā)生在Internet范圍內(nèi),而不僅僅是在您已知的IP空間上。這意味著防御者必須在互聯(lián)網(wǎng)范圍內(nèi)監(jiān)控任何意外或配置錯誤的實現(xiàn),因為可以確定的是此時攻擊者也在監(jiān)控。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。