米易| 黃梅| 香河| 西充| 息烽| 博興| 石渠| 羅田| 青川| 紅星| 隴川| 白銀| 上杭| 沅江| 汪清| 沾益| 三臺| 宿豫| 色達| 豐潤| 獨山子| 寬城| 瀘縣| 懷化| 銅川| 洪洞| 電白| 唐山| 阿拉善右旗| 洛隆| 隆林| 南川| 昌邑| 遷安| 安達| 蔚縣| 無錫| 博樂| 新絳| 兗州| 臨武| 淮陽| 施甸| 蓮花| 吉木乃| 炎陵| 豐縣| 平利| 克拉瑪依| 合山| 巴塘| 道真| 陳倉| 東明| 峨邊| 淄川| 密山| 邵陽市| 撫遠| 天峻| 江山| 惠陽| 察哈爾右翼后旗| 昌邑| 營口| 灤平| 肇慶| 衡陽縣| 丹巴| 靖遠| 聶榮| 西充| 香格里拉| 成都| 招遠| 宜黃| 通江| 咸陽| 文登| 土默特右旗| 安新| 修水| 漠河| 金鄉| 宕昌| 商丘| 聶拉木| 陳巴爾虎旗| 延安| 琿春| 密云| 青銅峽| 撫州| 蘭坪| 南海| 平山| 臺山| 四方臺| 炎陵| 石阡| 南雄| 柳城| 大名| 察哈爾右翼中旗| 克什克騰旗| 盧氏| 曹縣| 康保| 延安| 渦陽| 婁底| 新疆| 赫章| 欽州| 西山| 扎囊| 運城| 趙縣| 戶縣| 開化| 谷城| 黃龍| 菏澤| 阿榮旗| 荊州| 措勤| 旺蒼| 額爾古納| 子長| 民權| 巴東| 侯馬| 石渠| 蔚縣| 株洲市| 勐臘| 鎮雄| 安仁| 竹山| 宜蘭| 石獅| 三江| 呂梁| 麻城| 南沙島| 南江| 富川| 塘沽| 黎川| 焉耆| 江陰| 柘城| 龍海| 托克托| 茄子河| 贊皇| 曹縣| 撫松| 集安| 大荔| 巴東| 赤城| 治多| 十堰| 洛隆| 巨鹿| 岱岳| 堆龍德慶| 紅古| 察哈爾右翼前旗| 吉安市| 獲嘉| 隨州| 長武| 開原| 通州| 白玉| 甘肅| 膠南| 江門| 科爾沁左翼后旗| 澄海| 固原| 黑山| 梁平| 河池| 靖遠| 會澤| 大慶| 安多| 吳中| 金灣| 畢節| 鄯善| 涿州| 石城| 敦煌| 臨潼| 于都| 弓長嶺| 水富| 鄢陵| 云龍| 新沂| 西盟| 南溪| 靖遠| 蘭溪| 安慶| 大埔| 始興| 黃島| 德格| 清水| 福貢| 宿豫| 桂林| 涉縣| 澤州| 柳城| 普蘭店| 新津| 賓川| 洪澤| 碌曲| 龍海| 瀘縣| 陵縣| 江川| 都安| 博興| 溫江| 遼陽縣| 莒縣| 務川| 羅源| 興海| 會昌| 永和| 紅原| 瓦房店| 克東| 牟定| 泗縣| 秭歸| 黃埔| 澠池| 膠州| 鄄城| 關嶺| 赤水| 陽信| 商水| 福山| 張家川| 臺中市| 寧遠| 大姚| 濟寧| 益陽| 河池| 貴溪| 南靖| 陸河| 澳門葡京賭場
  • |
    |
    51CTO旗下網站
    |
    |
    移動端

    勒索軟件最喜歡的接入點:遠程桌面協議

    從2018年開始,大家幾乎每天都能聽到關于勒索軟件的消息。除此之外,勒索軟件的更新和升級也從未停止過,比如說Dharma和SamSam這種殺傷力巨大的勒索軟件,變種版本層出不窮。

    作者:Alpha_h4ck來源:FreeBuf|2018-11-24 15:09

    寫在前面的話

    從2018年開始,大家幾乎每天都能聽到關于勒索軟件的消息。除此之外,勒索軟件的更新和升級也從未停止過,比如說Dharma和SamSam這種殺傷力巨大的勒索軟件,變種版本層出不窮。實際上,在攻擊者入侵了一個企業網絡的遠程桌面協議(RDP)端口后,他們將能夠直接在目標網絡的主機上安裝勒索軟件。

    勒索軟件

    這種攻擊切入點是由于缺乏安全保護所導致的,一旦存在這樣的安全問題,攻擊者可以利用暴力破解攻擊輕而易舉地滲透進目標網絡,并向特定位置上傳勒索軟件。由于通過入侵RDP來實現勒索軟件攻擊的比例越來越大,因此我們需要讓整個社區認識到這個漏洞的重要性。

    根據Coveware對2018年第三季度的勒索軟件攻擊評估,已經有超過80%的勒索軟件都是以RDP作為攻擊切入點的。在這篇文章中,我們將跟大家介紹為何RDP會成為如此高效的攻擊切入點,并告訴組織如何提升自己的安全性。

    RDP的歷史

    RDP可以追溯到上世紀90年代,該技術跟隨Windows NT 4.0一起發布,而這個功能允許IT服務提供商在任何地方都能夠跟網絡內部的系統進行通信。在當時,這種方法不僅大大降低了故障頻率,而且還減少了服務支持問題的復雜性。除此之外,它還為新一代的托管服務提供商提供了一種無需與用戶現場見面即可解決問題的工具,并使得業界能夠迅速擴大自己的服務范圍。

    RDP

    然而,和大多數打著“提升便捷性”為slogen的技術一樣,RDP也有自己的弱點:其中最嚴重的一點,就是它為攻擊者提供了一種新的攻擊向量。除此之外,通過RDP訪問目標網絡能夠避開很多終端保護方案,這將使得攻擊者在目標網絡系統內的橫向滲透更加容易實現。

    入侵RDP

    攻擊者可以通過以下幾種方式入侵RDP:

    • 通過類似Shodan這樣的網站進行端口掃描,然后通過暴力破解攻擊獲取RDP會話憑證。
    • 在類似XDedic這樣的網站上直接購買和使用暴力破解服務,獲取RDP會話憑證。
    • 通過網絡釣魚或社工等方式入侵目標組織的員工電腦,然后利用這種訪問權限來從網絡內部獲取RDP訪問權。

    在暗網市場上,有著數十萬個企業RDP憑證可隨意購買,只需3美元就可以買到一個。對于網絡犯罪分子來說,這種投入是微不足道的,也就是說,現在通過RDP來發動勒索軟件攻擊的成本越來越低了。

    很多大型組織目前仍在使用RDP,而很多小型企業卻在沾沾自喜,因為他們認為自己太小而不會成為被攻擊的目標,但他們根本就不知道自己有多么容易被攻擊。

    另一個需要注意的是,即使沒有惡意軟件或勒索軟件的存在,暗網中的企業網絡RDP憑證也一直有人在出售。

    如果你發現自己的企業網絡受到了Dharma或SamSam這樣的勒索軟件攻擊,那說明這已經是第二波攻擊了,因為在第一波攻擊中你的RDP訪問憑證已經被泄露了…

    攻擊向量

    RDP所提供的公開訪問以及橫向訪問功能將允許勒索軟件感染目標網絡內的所有設備,包括個人設備、服務器和備份系統在內。

    除此之外,攻擊者還可以利用RDP實現賬號提權,并創建RDP會話,然后在拿到訪問權限之后安裝和執行各種應用程序。在惡意軟件的幫助下,攻擊者將能夠獲取到目標系統的命令控制權限,最終實現勒索軟件的感染。

    保護RDP

    為了增強RDP的安全性,企業應該從預防、響應和恢復這三個因素出發進行考量:

    • 雙因素驗證(2FA):給遠程會話和所有的遠程訪問賬號開啟雙因素身份驗證功能,可以保護絕大多數企業免受勒索軟件的攻擊。點擊【這里】了解更多關于RDP-2FA的內容。
    • 限制訪問:通過設置防火墻來限制RDP的訪問權,使用VPN來訪問,修改默認端口,或者通過IP地址白名單來緩解此類安全風險。
    • 終端替代方案:及時檢測網絡異常(例如在辦公室工作站試圖建立RDP會話),在攻擊發生之前阻止可疑行為。
    • 災難恢復(DR)與應急響應(IR):一個企業的RDP配置是否安全,還跟公司的DR和IR方案有關系。備份系統應該跟公司的網絡隔離,而IR方案能夠幫助公司在攻擊發生時盡量減少應對的成本和時間,并以最快速度處理攻擊事件。

    總結

    RDP帶來的安全風險是非常大的,如果沒有適當的管理,可能會給企業帶來災難性的后果。無論規模大小,每一個組織都應該優先考慮提升RDP訪問的安全保護,以避免受到勒索軟件的感染,并造成數據和財產損失。

    【編輯推薦】

    1. 三大方法保護Hadoop集群免遭攻擊!
    2. 為什么檢測網絡攻擊需耗時數個月
    3. 5種黑客常用的攻擊小企業方式
    4. 網絡威脅報告預測2019年7大攻擊趨勢
    5. 揭秘7大最易忽略的攻擊面
    【責任編輯:趙寧寧 TEL:(010)68476606】

    點贊 0
    大家都在看
    猜你喜歡

    讀 書 +更多

    網管員必讀-網絡管理(第2版)

    本書是對《網管員必讀—網絡管理》第1版的全面重寫,因為書中所涉及的兩個主要網絡操作系統都已升級。本書介紹的是Windows Server 2003 R2...

    訂閱51CTO郵刊

    點擊這里查看樣刊

    訂閱51CTO郵刊
    紹家坡 會龍鎮 圣架橋村 永紅 撫寧縣
    南昌市朝陽農場 小鋪鄉 大梁子 昆緯路永源里 桃李園
    竹子園 河北省唐山市路南區蘆臺場部圍區場部集體戶口 浦前北路 許巷 道場鄉
    蓮兜美 天祥寺街 五家渠市 侯東儀村 仁布縣
    现金博彩评级 博樂棋牌 澳門百家樂官方網站 威尼斯人网址 澳门威尼斯人官网网址
    澳门百家乐官方网站 澳门百家乐网站 賭博評級 澳门威尼斯人官网 澳門威尼斯人官網
    克隆俠蜘蛛池 http://www.kelongchi.com/ 今天快3走势图