真實案例|RDP協議暴力破解捲土重來!

背景

RDP(Remote Desktop Protocol)稱為「遠程桌面登錄協議」,即當某台計算機開啟了遠程桌面連接功能后(在windows系統中這個功能是默認打開的),我們就可以在網路的另一端控制這台機器了。通過遠程桌面功能,我們可以實時地操作這台計算機,在上面安裝軟體,運行程序,所有的一切都好像是直接在該計算機上操作一樣。

RDP攻擊就是利用RDP功能登錄到遠程機器上,把該遠程機器作為「肉雞」,在上面種植木馬、偷竊信息、發起DDOS攻擊等行為。要實現將遠程機器作為RDP肉雞,必須知道遠程機器的登錄密碼。所以常規方式是利用RDP協議來暴力破解遠程機器的密碼。

究其危害,我們以最近卡巴斯基實驗室報告的「地下市場兜售RDP肉雞的事件為例,在此次事件中我們發現一中招伺服器即肉雞高達7萬+台,波及173個國家,僅中國就有5000+台,占此次事件中的第二位。

儘管類似事件並不少見,然而波及面之廣卻讓人震撼,因而此次事件也被整個業界關注。

此次事件一經爆發,即有用戶利用瀚思系統發現了端倪,本案例中涉及到國內某公安及某信息中心。

瀚思對Internet網的機器暴力破解相關企業機器的分析

瀚思系統採集了客戶環境中的安全設備日誌,在本案例中主要是防火牆日誌、IPS日誌和主機日誌。

在攻擊地圖(熱力圖)上,顯示了從外網對內網的遠程桌面攻擊:

真實案例|RDP協議暴力破解捲土重來!

瀚思系統對採集到的日誌進行關聯分析,利用瀚思的可視化雲圖很容易地發現從外網對內網的大量遠程桌面連接請求。

真實案例|RDP協議暴力破解捲土重來!

1. 攻擊的時間和空間分布圖

在以上雲圖中,我們可以發現有許多Internet的機器在訪問某信息中心的機器的RDP埠(埠號是3389),總計約99萬次。涉及攻擊者的IP共1045個。

真實案例|RDP協議暴力破解捲土重來!

對IP的地理位置進行統計,國內IP是576個,佔比55%,境外IP是469個,佔比45%。對攻擊次數進行統計,國內IP產生的攻擊數佔比86%,國外IP產生的攻擊數佔比14%。

真實案例|RDP協議暴力破解捲土重來!

對境外的攻擊次數按國家進行比較:

真實案例|RDP協議暴力破解捲土重來!

同樣對於某公安的數據顯示在5/17~6/16內遭受48484次RDP攻擊,涉及的IP共211個。其中來源於境外的攻擊次數最多的國家也是韓國和美國。

2. 瀚思的威脅情報在發現攻擊的作用

對於攻擊某信息中心所涉及的1045個IP地址,瀚思的威脅情報顯示有428個在黑名單中,佔比41%。

真實案例|RDP協議暴力破解捲土重來!

對於攻擊某公安所涉及的211個IP地址,瀚思的威脅情報顯示有123在黑名單中,佔比58%。

真實案例|RDP協議暴力破解捲土重來!

其中有42個攻擊者IP在兩次攻擊中同時出現,瀚思的威脅情報顯示有31在黑名單中,佔比74%。

真實案例|RDP協議暴力破解捲土重來!

3. 在暴力密碼破解時使用的用戶名統計

利用防火牆日誌/IPS和日誌與主機日誌進行關聯分析,通過在遠程密碼暴力破解時常用的用戶名分佈情況我們發現一共有1062個用戶名被使用來進行暴力破解。

真實案例|RDP協議暴力破解捲土重來!

  • Administrator/admin這兩個賬號佔了72%;

  • 包括了一些通用用戶名,比如guest,owner,test,user等;

  • 包括了許多國外常用的用戶名,比如rob,dennis,bill,michelle等;

  • 包括了一些繁體中文名,比如經紀,管理員,行政官員等。

下表是其中的一些摘要:

真實案例|RDP協議暴力破解捲土重來!

4. 防禦措施

此次事件範圍之廣,數量之多,已經引起了各方廣泛的重視,那麼暴力破解遠程機器防禦措施有哪些?瀚思安全人員給出了如下建議:

  • 在主機上停止不必要的「允許運程桌面連接」功能;

  • 在防火牆上配置策略「阻止所有從外網連接內網的遠程桌面協議埠3(埠號3389)的請求」,對確有需要的RDP連接配置白名單;

  • 對已經遭受攻擊的機器修改密碼,尤其是administrator/admin密碼。

瀚思在此次事件中能夠第一時間利用「安全易」SaaS產品和HanSight Enterprise幫助我們的用戶發現問題,並及時有效的抵擋防禦事件的發酵。我們也將此次發現的攻擊者IP加入瀚思的TI威脅情報中,持續幫助更多的用戶來阻止此類事件的發生。

---

微信最新版,長按公眾號,可「置頂」

未经允许不得转载:Feenix第四色色 » 真實案例|RDP協議暴力破解捲土重來!

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址