IC3、DHS、FBI聯合發布RDP攻擊預警

9月27日，美國網路犯罪舉報中心（Internet Crime Complaint Center，IC3）聯合美國國土安全部（DHS）、FBI發布了關於通過Windows Remote Desktop Protocol (RDP)實施攻擊的預警。與RDP相關的攻擊主要是勒索軟體，攻擊者黑進暴露RDP服務的設備進行數據竊取、後門安裝和其他攻擊活動。

US-Cert的預警信息中稱：

隨著暗網中出售RDP Access的數量越來越多，RDP這樣的遠程管理工具從2016年成為一種攻擊面，攻擊者已經開發出許多識別和利用有漏洞的RDP session來竊取登陸憑證並勒索其他用戶敏感信息。

FBI和DHS建議：

企業和個人用戶要了解遠程訪問對企業網路和個人用戶帶來的潛在威脅，並採取措施來減少被入侵的可能性，比如可以選擇關閉RDP。

去年，xDedic黑市犯罪交易市場出售的被黑的遠程桌面服務賬號每個伺服器只有6美元。犯罪交易市場上出售的RDP賬戶數量還在不斷增長。

聯網設備搜索引擎Shodan.io的數據顯示超過200萬運行遠程桌面的計算機直接連接到互聯網。這些伺服器隨時都有被黑的可能。

CrySiS/Dharma, SamSam, BitPaymer, CryptON這些勒索軟體也都是通過黑進開啟遠程桌面的伺服器來入侵整個網路的。因為勒索軟體解密1台計算機的贖金要求是3到5千美元，解密整個網路的贖金高達5萬美元，因此攻擊者非常熱衷。

因此，對於使用RDP的企業來說，保護RDP服務非常重要。

保護遠程桌面伺服器

使用遠程桌面服務是企業的整體資源，所以不能說不允許用。但如果使用RDP，那麼就應該對其進行保護。

下面是保護遠程桌面伺服器被黑的幾個步驟：

不要將RDP伺服器直接聯網

RDP伺服器應該防止在VPN或防火牆之後，只有授權的用戶才可以訪問。這樣攻擊者找出伺服器並進行暴力破解攻擊就會更難。

還可以將RDP的TCP埠從默認的3389改為其他非標準的埠。這也是一種保護的方式。

強密碼和多因子認證

攻擊者在實施遠程桌面攻擊時會同時進行暴力破解攻擊，因此所有用戶使用強密碼和複雜密碼都是比較重要的。這可以通過Windows中的強密碼策略實現。

多因子認證也是一種很好的保護方式，企業可以在域名登陸時添加多因子認證。

開啟賬戶鎖定策略

暴力破解攻擊是嘗試用不同的密碼來登陸某個特定賬戶，賬戶鎖定策略是賬戶在特定的登陸失敗次數後不能登陸。因此暴力破解攻擊一般都可以用賬戶鎖定策略避免。

開啟賬戶登陸審計

開啟賬戶審計策略後，管理員可以查看哪些賬戶有多次失敗登陸嘗試。這樣，管理員就可以發現哪些賬戶可能是攻擊的目標。

安裝安全更新

最後也是最重要的就是安全更新了。對企業來說，雖然很難進行及時的安全更新，但也應該儘可能早的進行更新。

其他保護措施

FBI和DHS推薦了一些預防基於RDP攻擊的最佳實踐：

·對使用RDP遠程通信的系統進行網路審計。

·對系統和數據進行備份。

·保留RDP登陸日誌至少90天，並定期對日誌進行入侵審查。

·在創建基於雲的虛擬機實例時，遵守雲服務提供商的遠程訪問最佳實踐。

·確保需要RDP訪問的第三方遵循遠程訪問的內部策略。

·將所有控制系統設備的網路暴露降到最小。關鍵設備不要開啟RDP服務。

·管理和限制外部到內部的RDP連接。外部訪問內部資源時，要使用VPN這種安全的方法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！