针对3389远程管理端口的攻击正在路上……

华盟学院山东省第二期线下学习计划


美国网络犯罪举报中心(IC3)与美国国土安全部(DHS)、联邦调查局(FBI)合作发布了,通过Windows远程桌面协议(RDP)可以进行攻击的安全警报。

攻击者可以入侵暴露的RDP服务以进行企业盗窃,安装后门或作为其他攻击的跳板。

跳板,简单来说,就是为了隐藏自己的地址,让别人无法查找到自己的位置

美国应急小组称。

远程管理工具,例如远程桌面协议(RDP),黑客以它作为一种攻击媒介,自2016年中旬以来一直在上升,随着市场的出现,他们开始销售RDP 的连接方式,” 

黑客已经找到了可以识别并加以利用的互联网上脆弱的RDP会话的方法,用于危害他人、窃取登录凭证和勒索其他敏感信息。

联邦调查局(FBI)和国土安全部(DHS)建议,企业和某些个体户应当及时检查他们的网络所允许的远程访问,并采取相关防护措施,例如在不需要远程访问的时候禁用RDP。“

在去年xDedic上就有开始售卖被黑客入侵的远程桌面的账户。而在今年这种交易还在继续。

 

在xDedic市场上销售的RDP服务器

Shodan.io(互联网连接设备搜索引擎)也表明,有超过200万台计算机运行远程桌面并直接连接到互联网。这些服务器很容易就会被黑客入侵。

 

Shodan列出运行RDP的计算机

过去几年的RDP攻击示例

Matrix勒索软件:Matrix勒索软件主要通过RDP进行攻击,只要是开启了远程桌面服务端口,就会受到攻击,前提是需要手动安装程序

GLOBEIMPOSTER勒索软件:GlobeImposter勒索软件之前的变种利用RDP(远程桌面协议)暴力破解远端机器的密码实现传播,因此建议关闭RDP。

Samsam勒索软件:Samsam使用暴力破解攻击RDP登录凭据并成功渗透进某医疗公司。勒索软件在被检测到之前加密了数千台机器。


因为这些被攻击的不是单个的计算机,而是整个网络,并且带有3,000美元到5,000美元的价格来解密一台计算机或者高达50,000美元来解密整个网络,所以它们往往被高度宣传。

例如,用勒索软件攻击美国的PGA圣地亚哥港亚特兰大,以及众多医院 。

因此,保护RDP不被入侵至关重要。

保护远程桌面服务器

远程桌面服务已经成为公司不可或缺的工具,如果你想使用RDP,你就必须要保护它!


下面我们概述了应该执行的各种步骤,保护远程桌面服务器免受攻击


不要将RDP服务器直接暴露给Internet

RDP服务器不应该直接连接到Internet。服务商应将RDP服务器置于VPN或防火墙之后,以便于只允许用户访问它们。

这样做也会使查找服务器和发起暴力攻击变得更加困难,能有效阻止黑客破解服务器密码。
如果可以,还应将RDP的TCP端口从默认端口3389更改为非标准端口。

使用强密码和多重身份验证

由于远程桌面攻击通常由黑客使用的暴力破解攻击,而暴力破解则需要强大的字典支持,因此所有用户都必须设置强大而复杂的密码。

这一项可以在本地安全策略里进行修改:

为了更加安全,可以向添加域用户登录身份验证。

启用帐户锁定策略

通常可以通过使用帐户锁定策略来防止暴力攻击。这些策略可以使多次失败的用户在几分钟之内无法再次登录。

 

启用帐户登录审核

通过启用帐户审核策略,管理员可以深入了解哪些帐户重复登录尝试失败。这使管理员可以查明哪些用户是存在问题的。

安装安全更新

最后,尤其是重要性,更新,更新,更新。最新的补丁一定要抓紧时间安装。

最后华盟君提醒:

不管是个人电脑还是公司电脑都要做好保护措施,鬼知道黑客会不会盯上你开始搞你。

有可能你在咖啡厅偶遇的一个妹子就会是一个黑客,正在利用社会工程学接近你,套取你的信息,以便破解个人电脑甚至公司机密。所以各位可要保护好自己的信息,被黑客钻了空子可就为时已晚咯

由华盟网编辑翻译

www.idc126.com

原文链接:https://www.bleepingcomputer.com

本文由来源 bleepingcomputer,由 Kay666 整理编辑,其版权均为 bleepingcomputer 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。
1
Kay666

评论:

1 条评论,访客:1 条,站长:0 条

100%好评

  • 好评:(100%)
  • 中评:(0%)
  • 差评:(0%)

发表评论