如上所述,自2018年以来,每个人几乎每天都听到有关勒索软件的消息。此外,勒索软件的更新升级也从未停止过,例如Dharma、SamSam等都是极具杀伤力的勒索软件,变种版本层出不穷。实际上,在攻击者攻陷企业网络的远程桌面协议(RDP)端口后,他们将能够直接在目标网络中的主机上安装勒索软件。这种攻击切入点是由于缺乏安全防护造成的。一旦存在此类安全问题,攻击者可以通过暴力破解的方式轻松渗透到目标网络中,将勒索病毒上传到特定位置。由于利用RDP的勒索软件攻击的比例不断增加,我们需要让整个社区意识到此漏洞的重要性。根据Coveware对2018年第三季度勒索软件攻击的评估,超过80%的勒索软件攻击以RDP作为切入点。在本文中,我们将解释为什么RDP是如此有效的攻击切入点,以及组织如何提高其安全性。RDPRDP的历史可以追溯到1990年代。该技术与WindowsNT4.0一起发布,该功能允许IT服务提供商在任何地方与网络内的系统进行通信。在当时,这种做法不仅大大降低了故障频率,还降低了服务支持问题的复杂性。此外,它还为新一代托管服务提供商提供了一种无需与用户现场会面即可解决问题的工具,并使该行业能够快速扩展其服务范围。然而,与大多数打着“提高便利性”口号的技术一样,RDP也有自己的弱点:其中最严重的是它为攻击者提供了新的攻击向量。此外,通过RDP访问目标网络可以避开很多终端保护方案,这将使得攻击者更容易在目标网络系统中实现横向渗透。入侵RDP攻击者可以通过多种方式入侵RDP:通过Shodan等网站进行端口扫描,然后通过暴力攻击获取RDP会话凭证。直接在XDedic等网站购买并使用暴力破解服务获取RDP会话凭证。通过网络钓鱼或社会工程等方法危害目标组织的员工计算机,然后使用此访问权限从网络内部获取RDP访问权限。在暗网市场上,有数十万个企业RDP证书可供购买,您只需3美元即可购买一个。对于网络犯罪分子来说,这项投资可以忽略不计,这意味着通过RDP发起勒索软件攻击的成本越来越低。许多大型组织今天仍在使用RDP,而许多小型企业则沾沾自喜,因为他们认为自己太小而无法成为目标,但他们不知道自己有多脆弱。另一件需要注意的事情是,即使没有恶意软件或勒索软件,企业网络RDP凭证也一直在暗网上出售。如果您发现您的企业网络遭到了Dharma或SamSam等勒索软件的攻击,则意味着这已经是第二波攻击,因为您的RDP访问凭据已在第一波攻击中被泄露......攻击向量RDP提供的开放和横向访问将使勒索软件能够感染目标网络内的所有设备,包括个人设备、服务器和备份系统。此外,攻击者还可以利用RDP提升账户权限,创建RDP会话,获取访问权限后安装并执行各种应用程序。借助恶意软件,攻击者将能够获得对目标系统的命令和控制权限,最终实现勒索病毒感染。保护RDP为了增强RDP的安全性,企业应考虑预防、响应和恢复三个因素:双因素身份验证(2FA):对远程会话和所有远程访问帐户启用双因素身份验证,可以保护绝大多数企业都免受勒索软件的侵害。点击【这里】了解更多关于RDP-2FA的信息。限制访问:通过设置防火墙、使用VPN访问、修改默认端口等方式限制RDP访问,或者通过IP地址白名单降低此类安全风险。端点替代方案:及时检测网络异常(例如尝试在办公室工作站建立RDP会话),在攻击发生之前阻止可疑行为。灾难恢复(DR)和应急响应(IR):一个企业的RDP配置是否安全,也与企业的DR和IR解决方案有关。备份系统应与公司网络隔离,IR解决方案可帮助公司在发生攻击时将响应成本和时间降至最低,并尽快应对攻击。总之,RDP带来的安全风险很大,如果管理不当,可能会给企业带来灾难性后果。每个组织,无论规模大小,都应优先保护RDP访问,以避免可能导致数据和财产损失的勒索软件感染。
