针对3389远程管理端口的攻击正在路上......

发布日期:2018-09-30 点击次数:
  美国网络犯罪举报中心(IC3)与美国国土安全部(DHS)、联邦调查局(FBI)合作发布了,通过Windows远程桌面协议(RDP)可以进行攻击的安全警报。
  美国应急小组称,攻击者可以入侵暴露的RDP服务以进行企业盗窃,安装后门或作为其他攻击的跳板。
  (跳板,简单来说,就是为了隐藏自己的地址,让别人无法查找到自己的位置)
  “远程管理工具,例如远程桌面协议(RDP),黑客以它作为一种攻击媒介,自2016年中旬以来一直在上升,随着市场的出现,他们开始销售RDP 的连接方式,” 
  “黑客已经找到了可以识别并加以利用的互联网上脆弱的RDP会话的方法,用于危害他人、窃取登录凭证和勒索其他敏感信息。
  联邦调查局(FBI)和国土安全部(DHS)建议,企业和某些个体户应当及时检查他们的网络所允许的远程访问,并采取相关防护措施,例如在不需要远程访问的时候禁用RDP。“
  在去年xDedic上就有开始售卖被黑客入侵的远程桌面的账户。而在今年这种交易还在继续。
  在xDedic市场上销售的RDP服务器
  Shodan.io(互联网连接设备搜索引擎)也表明,有超过200万台计算机运行远程桌面并直接连接到互联网。这些服务器很容易就会被黑客入侵。
  Shodan列出运行RDP的计算机
  过去几年的RDP攻击示例
  Matrix勒索软件:Matrix勒索软件主要通过RDP进行攻击,只要是开启了远程桌面服务端口,就会受到攻击,前提是需要手动安装程序
  GLOBEIMPOSTER勒索软件:GlobeImposter勒索软件之前的变种利用RDP(远程桌面协议)暴力破解远端机器的密码实现传播,因此建议关闭RDP。
  Samsam勒索软件:Samsam使用暴力破解攻击RDP登录凭据并成功渗透进某医疗公司。勒索软件在被检测到之前加密了数千台机器。
  因为这些被攻击的不是单个的计算机,而是整个网络,并且带有3,000美元到5,000美元的价格来解密一台计算机或者高达50,000美元来解密整个网络,所以它们往往被高度宣传。
  例如,用勒索软件攻击美国的PGA,圣地亚哥港,亚特兰大,以及众多医院 。
  因此,保护RDP不被入侵至关重要
  远程桌面服务已经成为公司不可或缺的工具,如果你想使用RDP,你就必须要保护它!
  下面我们概述了应该执行的各种步骤,保护远程桌面服务器免受攻击
  不要将RDP服务器直接暴露给Internet
  RDP服务器不应该直接连接到Internet。服务商应将RDP服务器置于VPN或防火墙之后,以便于只允许用户访问它们。
  这样做也会使查找服务器和发起暴力攻击变得更加困难,能有效阻止黑客破解服务器密码。
  如果可以,还应将RDP的TCP端口从默认端口3389更改为非标准端口。
  使用强密码和多重身份验证
  由于远程桌面攻击通常由黑客使用的暴力破解攻击,而暴力破解则需要强大的字典支持,因此所有用户都必须设置强大而复杂的密码。
  这一项可以在本地安全策略里进行修改:
  为了更加安全,可以向添加域用户登录身份验证。
  启用帐户锁定策略
  通常可以通过使用帐户锁定策略来防止暴力攻击。这些策略可以使多次失败的用户在几分钟之内无法再次登录。
  启用帐户登录审核
  通过启用帐户审核策略,管理员可以深入了解哪些帐户重复登录尝试失败。这使管理员可以查明哪些用户是存在问题的。
  安装安全更新
  最后,尤其是重要性,更新,更新,更新。最新的补丁一定要抓紧时间安装。
 
  最后华盟君提醒:
  不管是个人电脑还是公司电脑都要做好保护措施,鬼知道黑客会不会盯上你开始搞你。
  有可能你在咖啡厅偶遇的一个妹子就会是一个黑客,正在利用社会工程学接近你,套取你的信息,以便破解个人电脑甚至公司机密。所以各位可要保护好自己的信息,被黑客钻了空子可就为时已晚咯。
 
  原文链接:https://www.bleepingcomputer.com/news/security/ic3-issues-alert-regarding-remote-desktop-protocol-rdp-attacks/
  原文地址:https://mp.weixin.qq.com/s/-VOU5QrHqt95aLhSz6t3rA
  转自:黑白之道
分享到:
×

微信扫一扫分享