Sophos發(fā)表最新研究報告《遠端桌面通訊協定漏洞曝光：威脅已迫在眉睫》(RDP Exposed: The Threat That’s Already at your Door) ，揭示網絡罪犯如何嘗試利用遠端桌面通訊協定 (RDP) 無情地不斷攻擊各大企業(yè)。
 
RDP漏洞依舊是系統管理員的惡夢。Sophos自2011年起便一直發(fā)現網絡罪犯利用RDP漏洞攻擊的情況。去年，其中兩種最具規(guī)模的針對性惡意軟件攻擊 ─ Matrix 及 SamSam 背后的網絡犯罪集團，更幾乎完全放棄其它入侵網絡的方法，轉而利用RDP漏洞。
 
Sophos安全專家暨報告首席研究員Matt Boddy表示：“最近一款名為 BlueKeep (CVE-2019-0708)的RDP遠端程式碼執(zhí)行漏洞備受傳媒關注。這個嚴重的漏洞足可于數小時內引發(fā)全球性的惡意軟件大爆發(fā)。然而BlueKeep只是冰山一角，所以預防RDP漏洞威脅絕不止于修補系統以防范BlueKeep。IT管理員必須加倍留意RDP的整體運作情況，因為Sophos的研究同時發(fā)現，網絡罪犯毫不間斷地利用密碼猜測攻擊尋找因RDP漏洞而變得易于入侵的電腦。”
 
Sophos這項最新研究指出，攻擊者幾乎能即時發(fā)現連接上互聯網，并啟用了RDP功能的裝置。Sophos為印證上述發(fā)現，分別于全球10個地區(qū)設置了低互動蜜罐以評估及量化RDP漏洞帶來的風險。
 
研究報告主要發(fā)現：
·         全部10個蜜罐均于一日內收到嘗試登入的記錄
·         RDP漏洞使相關電腦在短短84秒內曝光
·         所有RDP蜜罐于 30 日內總記錄4,298,513 次登入失敗，平均約每6秒一次
·         業(yè)界一般認為網絡罪犯通過Shodan等網站尋找開放的RDP漏洞源頭，但Sophos研究強調他們其實會利用自己的工具和技術，不一定要依賴第三方網站去尋找存取途徑


黑客行為解析：
Sophos根據研究結果識別出黑客攻擊模式的三大特征——The ram、The swarm 和The hedgehog：
·         The ram 是專為破解管理員密碼而設置的策略，比如有一名攻擊者在10日內嘗試登入設于愛爾蘭的蜜罐109,934次，最后只用了三個用戶名稱就能成功訪問。
·         The swarm會利用順序用戶名稱及數目有限的最常見密碼：一名攻擊者于14分鐘內以用戶名稱“ABrown”嘗試登入位于巴黎的蜜罐9次，然后轉用“BBrown”、“CBrown”、“DBrown”，如此類推，再使用“A.Mohamed”、“AAli”、“ASmith”與其他用戶名稱重覆以上的試探模式。
·         The hedgehog則是先進行大量攻擊活動，緊接著較長的靜止時間，例如巴西的蜜罐可以看到每次的攻擊高峰均來自同一IP地址，歷時約4小時，當中包括3,369 到5,199次密碼猜測。
 
Boddy解釋RDP漏洞曝光對企業(yè)的影響時表示：“當今全球有超過300萬部裝置可通過RDP訪問，并已成為網絡罪犯偏好的切入點。Sophos一直有談及攻擊者如何利用針對性勒索軟件如BitPaymer、Ryuk、Matrix和SamSam。他們幾乎已完全放棄使用其它方法，單靠暴力破解RDP 密碼就可成功入侵企業(yè)。由于所有蜜罐因RDP而被曝光于網上，并在數小時內被攻擊者發(fā)現，因此企業(yè)必須盡可能減少對于RDP功能的使用，以及確保公司內對密碼的管理行之有效。企業(yè)也必須對癥下藥，采取適當的安全協議，抵御無休止的網絡攻擊。”
 
詳情請參閱《遠端桌面通訊協定漏洞曝光：威脅已迫在眉睫》報告全文。

標簽： Sophos 研

版權申明：本站文章部分自網絡，如有侵權，請聯系：west999com@outlook.com
特別注意：本站所有轉載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權歸原作者所有，如需使用，請與原作者聯系。