前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >因密码太简单,疫情期间国内大量RDP端口暴露

因密码太简单,疫情期间国内大量RDP端口暴露

作者头像
FB客服
发布2020-05-14 17:19:43
9660
发布2020-05-14 17:19:43
举报
文章被收录于专栏:FreeBuf

COVID-19使许多公司员工利用RDP远程桌面办公,员工可以远程访问公司内部资源,远程与系统进行通信。为了维持业务连续性,许多组织对安全的要求降低,使攻击者有机可乘。

RDP是运行在3389端口上的Microsoft协议,用户可远程访问内部系统。多数情况下,RDP运行在Windows服务器上,并承载部分服务,例如Web服务、文件服务等,它也可以连接到工业控制系统。RDP端口通常暴露于Internet,非法访问可使攻击者访问整个网络,并用作传播恶意软件的入口。

RDP统计

暴露在Internet的RDP端口数量迅速增长,从2020年1月的大约300万到3月已超过450万。在Shodan上搜索RDP端口数量结果如下图:

中国和美国暴露在互联网的RDP数量远超其他国家地区。大多数受感染系统都运行Windows Server,也有部分是其他操作系统,例如Windows 7。

对于攻击者而言,访问远程系统可以进行许多恶意操作,例如:

1、传播垃圾邮件:使用合法系统发送垃圾邮件非常方便。 2、传播恶意软件:利用被攻陷的系统可以轻松传播恶意软件,渗透到内部网络。 3、单独使用受感染的机器:网络犯罪分子使用受感染的系统隐藏自身踪迹,例如在受感染计算机上编译工具。 4、还可以用于其他诈骗行为,例如身份盗用或个人信息收集。

近期针对RDP端口的攻击数量以及暗网在售的RDP凭证数量均在增加。

中国(占总数的37%)和美国(占总数的37%)的系统数量最多,美国(占4%)的RDP凭证被盗数比其他国家要低得多。

攻击者如何攻击远程系统?

弱密码仍然是常见的切入点之一,攻击者可以使用暴力攻击获得访问权限。下图可看到RDP中20个最常用的密码。

下图显示了前10位常见密码的数量,大量易受攻击的RDP没有密码。

RDP协议还存在一些需要修补的漏洞,去年详细说明了BlueKeep漏洞的工作原理,该漏洞允许攻击者远程执行代码。

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rdp-stands-for-really-do-patch-understanding-the-wormable-rdp-vulnerability-cve-2019-0708/

一月初,还修复了远程桌面有关的其他漏洞:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0609 https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-0610

这两个漏洞类似于BlueKeep漏洞,攻击者可发送特制的请求远程执行代码。

为了RDP协议的安全,需要进行以下操作:

1、不允许通过公开Internet进行RDP连接 2、使用复杂密码以及多因素身份验证 3、锁定用户,阻止登录失败次数过多的IP 4、使用RDP网关 5、限制域管理员帐户访问权限 6、减少本地管理员的数量 7、使用防火墙限制访问 8、启用限制管理员模式 9、启用网络级别身份验证(NLA) 10、确保本地管理员帐户唯一,限制可以使用RDP登录的用户 11、不使用含有组织信息的帐户

总结

网络犯罪分子正在瞄准RDP,它仍然是入侵组织的最常用的媒介之一。对于攻击者来说,RDP入口可以快速有效的开展恶意活动,例如传播恶意软件,垃圾邮件或进行其他类型的犯罪。

目前,暗网上有整套围绕RDP开展的业务,为了使自身不受到攻击,必须遵循安全原则,例如使用强密码、修补漏洞等。

*参考来源:mcafee,由Kriston编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-05-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • RDP统计
  • 攻击者如何攻击远程系统?
  • 总结
相关产品与服务
多因子身份认证
多因子身份认证(Multi-factor Authentication Service,MFAS)的目的是建立一个多层次的防御体系,通过结合两种或三种认证因子(基于记忆的/基于持有物的/基于生物特征的认证因子)验证访问者的身份,使系统或资源更加安全。攻击者即使破解单一因子(如口令、人脸),应用的安全依然可以得到保障。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档