前言远程桌面协议(RDP)是最流行的初始勒索软件攻击媒介,已经存在多年。在2020年Unit42事件响应和数据泄露报告中,Unit42检查了1,000多起事件的数据,发现RDP是50%的勒索软件部署案例的初始攻击媒介。在2021年CortexXpanse攻击面威胁报告中,CortexXpanse研究人员发现RDP占总暴露量的30%,是第二常见暴露量的两倍多。RDP是MicrosoftWindows系统上的一种协议,旨在允许用户远程连接和控制远程系统。最常见的合法用途是允许IT支持人员远程控制用户系统以解决问题。最近,RDP在云计算中变得流行,用于访问云环境中的虚拟机(VM)或远程管理云资产。如果RDP暴露在被遗忘的系统、云实例、以前受网络分段保护的设备上,或者通过直接连接到Internet,则很容易无意中暴露RDP。更糟糕的是,RDP已经变得更加广泛、暴露和更普遍的风险,可能导致攻击(尤其是勒索软件部署)、数据丢失、代价高昂的停机和补救工作,以及对组织的品牌损害。更多的暴露意味着更大的风险COVID-19大流行首先导致在家工作的人激增,这意味着笔记本电脑从防火墙办公室网络的安全空间转移到从未考虑过安全性的家庭网络。IT还没有为这种转变做好准备,因此必须尽快购买新笔记本电脑并将其发送给远程工作人员。这意味着风险和更多的RDP暴露。向远程工作的转变也加剧了与临时动态DNS相关的风险。办公室网络上分配有IP地址的计算机很容易清点和跟踪。在个人家中,随着Internet服务提供商(ISP)动态分配地址,计算机的IP地址每天都在变化。更重要的是,这些设备可以从家里搬到咖啡店或朋友家,然后再搬回来,每次都获得一个新的IP地址。虽然这长期以来一直是一个风险,但现在远程工作者比以往任何时候都多,风险甚至更大。2021年1月的第42单元云威胁报告发现,从2020年第一季度(COVID-19之前)到2020年第二季度(COVID-19之后),所有云提供商的RDP暴露风险增加了59%。启动新的云实例比以往任何时候都更容易,同时增加了出错的可能性。所以,RDP无处不在。RDP是威胁参与者的主要目标,并且通常是勒索软件攻击的初始攻击媒介。不幸的是,根据CortexXpanse报告,在2021年前三个月扫描与50家全球企业相关的5000万个IP地址时,发现RDP占整体安全问题的32%。为什么RDP如此危险?RDP是威胁参与者最喜欢的目标,因为一旦攻击者进入,他们就可以获得对系统的完全访问权限(甚至达到被盗用户帐户的级别)。如果管理员帐户被盗,那将是一场灾难。即使更受限制的用户帐户受到威胁,攻击者只需要在该系统上找到另一个漏洞来提升权限并获得更多访问权限。恶意行为者要找到暴露的RDP需要一个简单的nmap脚本来扫描Internet以查找开放端口3389(默认RDP端口)。如今,攻击者正在不断扫描3389端口,如图X所示。根据CortexXpanse的研究,攻击者可以在45分钟内扫描整个互联网。因此,一旦RDP暴露,攻击者就可以通过多种方式找到并进入:使用窃取的凭据登录。强制登录(如果实现允许无限制的登录尝试)。如果RDP版本已过期或使用有缺陷的加密,则执行中间人攻击。利用旧版本RDP(例如BlueKeep)中的已知漏洞。避免勒索软件彩票恶意行为者并不总是针对特定目标;通常情况下,他们只是在寻找可以通过攻击获得回报的漏洞。勒索软件就像一个邪恶的彩票系统,您只需打开门就可以玩,例如RDP。任何组织的第一步都是通过比对手更快地扫描漏洞并确保所有联网设备的完全可见性和完整记录系统来规避RDP风险。如果这些漏洞存在于外部IP空间,漏洞扫描器无法发现这些漏洞,因此您需要从外向内扫描。许多更先进的公司使用平均库存时间(MTTI)来衡量他们扫描完整库存和评估潜在风险的速度.确保您没有不必要的RDP暴露的第一种方法是在所有不需要的系统上简单地禁用RDP。对于需要RDP的系统,请遵循以下安全措施:将RDP置于虚拟专用网络(虚拟网络)之后。启用多重身份验证(MFA)。降低与被盗凭据相关的风险的最佳方法是确保在所有用户帐户上启用MFA。限制登录尝试。同样,为了降低暴力攻击的风险,限制失败的登录尝试并禁止无限制的尝试。为断开连接的会话设置时间限制,并自动结束达到该限制的会话。考虑允许列表,以便只有批准的IP地址才能连接到RDP服务器。部署Internet规模的攻击面监控解决方案,例如CortexXpanse,以监控RDP或其他远程访问服务的意外暴露。优先考虑RDP现在应该清楚为什么RDP=勒索软件部署协议。RDP配置应该是任何IT卫生计划中的高优先级项目。这是一种具有危险默认设置的协议,用户可以轻松启用或以危险的方式使用。如果配置不当,RDP可用作攻击媒介,并且您的组织不幸成为勒索软件运营商的目标。这不是理论上的风险,而是一个简单且既定的事实。无论您是否打算公开RDP,这些公开都会发生在Internet范围内,而不仅仅是您已知的IP空间。这意味着防御者必须在整个Internet范围内监控任何意外或配置错误的实施,知道此时攻击者也在监控。本文翻译自:https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/如有转载请注明出处。
