北京
一個大規(guī)模僵尸網(wǎng)絡正通過超10萬個IP地址,針對美國境內的遠程桌面協(xié)議(RDP)服務發(fā)起攻擊。該攻擊活動始于10月8日,威脅監(jiān)控平臺GreyNoise的研究人員根據(jù)IP地址來源判斷,此次攻擊由一個跨多國的僵尸網(wǎng)絡發(fā)起。
遠程桌面協(xié)議(RDP)是一種支持遠程連接并控制Windows系統(tǒng)的網(wǎng)絡協(xié)議,通常供管理員、技術支持人員及遠程辦公人員使用。
攻擊者常通過多種方式利用RDP實施攻擊,包括掃描開放的RDP端口、暴力破解登錄密碼、利用協(xié)議漏洞,或發(fā)起時序攻擊等。
攻擊核心手段:兩種RDP相關攻擊方式,精準枚舉用戶賬戶
研究人員發(fā)現(xiàn),此次僵尸網(wǎng)絡主要依賴兩種與RDP相關的攻擊手法:
1. RD Web訪問時序攻擊:探測RD Web訪問端點,在匿名認證流程中通過檢測響應時間差異,推斷出系統(tǒng)中的有效用戶名;
2. RDP Web客戶端登錄枚舉:與RDP Web客戶端的登錄流程交互,通過觀察服務器行為及響應的差異,枚舉系統(tǒng)中的用戶賬戶。
GreyNoise最初通過巴西地區(qū)異常的流量激增發(fā)現(xiàn)該攻擊活動,隨后在更多國家和地區(qū)監(jiān)測到類似攻擊行為,涉及阿根廷、伊朗、墨西哥、俄羅斯、南非、厄瓜多爾等。該公司表示,僵尸網(wǎng)絡中被劫持設備所在的國家/地區(qū)總數(shù)已超100個。
來自巴西的異常活動激增
幾乎所有發(fā)起攻擊的IP地址都擁有相同的TCP指紋;盡管部分IP的“最大分段大小”存在差異,但研究人員認為,這是由僵尸網(wǎng)絡的不同集群導致的。
防御建議:阻斷攻擊IP+強化RDP安全配置
為抵御此類攻擊,安全研究人員建議系統(tǒng)管理員應盡快采取以下措施:
·阻斷發(fā)起攻擊的IP地址,同時檢查日志中是否存在可疑的RDP探測行為;
·核心防御原則:不要將遠程桌面連接暴露在公網(wǎng)中,建議通過搭建虛擬專用網(wǎng)絡、啟用多因素認證等方式,為RDP訪問增加額外安全層。
參考及來源:https://www.bleepingcomputer.com/news/security/massive-multi-country-botnet-targets-rdp-services-in-the-us/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
