網絡及端點安全供應商Sophos發表最新研究報告《遠端桌面通訊協定漏洞曝光:威脅已迫在眉睫》(RDP Exposed: The Threat That’s Already at your Door) ,披露網絡罪犯如何利用遠端桌面通訊協定 (RDP) 攻擊各大企業。

Sophos自2011年起提出網絡罪犯利用RDP漏洞攻擊的情況,去年,其中兩種針對性惡意軟件攻擊 ── Matrix 及 SamSam 背後的網絡犯罪集團,幾乎已放棄其他入侵網絡的方法,轉而利用RDP漏洞。

Sophos安全專家暨報告的首席研究員Matt Boddy表示:「最近一款綽號為 BlueKeep (CVE-2019-0708)的RDP遠端程式碼執行漏洞備受傳媒關注,這個嚴重漏洞可於數小時內引發全球性的惡意軟件大爆發。然而BlueKeep只是冰山一角,所以預防RDP漏洞威脅絕不止於修補系統以防範BlueKeep,IT管理員必須加倍留意RDP的整體運作情況,因為研究發現,網絡罪犯毫不間斷地利用密碼猜測攻擊訪尋因RDP漏洞而變得易於入侵的電腦。」

Sophos這項最新研究指出攻擊者幾乎能即時發現連接上互聯網,並啟用了RDP功能的裝置。為印證上述發現,Sophos分別於全球10個地區設置低互動蜜罐以評估及量化RDP漏洞帶來的風險。

研究報告主要發現:
1.全部10個蜜罐均於一日內收到嘗試登入的記錄
2.RDP漏洞使相關電腦在短短84秒內已經曝光
3.所有RDP蜜罐於 30 日內合共錄得4,298,513 次登入失敗,平均約每6秒便有一次

業界一般認為網絡罪犯透過Shodan等網站尋找開放的RDP漏洞源頭,但Sophos研究強調他們其實會利用自己的工具和技術,不一定要依賴第三方網站去尋找存取途徑。

Sophos根據研究結果識別出黑客攻擊模式的三大特徵:The ram、The swarm 和The hedgehog。

The ram是專為破解管理員密碼而設的策略,例子有一名攻擊者在10日內嘗試登入設於愛爾蘭的蜜罐109,934次,最後只用了三個用戶名稱就能成功存取。

The swarm手法會利用順序用戶名稱及數目有限的最常見密碼:一名攻擊者於14分鐘內以用戶名稱「ABrown」嘗試登入位於巴黎的蜜罐9次,然後轉用「BBrown」、「CBrown」、「DBrown」,如此類推,再轉用「A.Mohamed」、「AAli」、「ASmith」與其他用戶名稱重覆以上試探模式。

The hedgehog是先進行大量攻擊活動,緊接著較長的靜止時間,例如巴西的蜜罐錄得每次的攻擊高峰均來自同一IP地址,歷時約4小時,當中包括3,369 到5,199次密碼猜測。

Sophos安全專家暨報告的首席研究員Matt Boddy

Matt Boddy解釋RDP漏洞曝光對企業的影響:「現今全球有超過300萬部裝置可透過RDP存取,並已成為網絡罪犯偏好的切入點。Sophos一直有談及攻撃者如何利用針對性勒索軟件如BitPaymer、Ryuk、Matrix和SamSam。他們幾乎已完全棄用其他方法,單靠暴力破解RDP 密碼就可成功入侵企業。由於所有蜜罐因RDP而於網上曝光,並在數小時內已被攻擊者發現,因此企業必須儘可能減少使用RDP功能,以及確保公司內的密碼管理行之有效。企業亦必須對症下藥,採取適當的安全協議,抵禦無休止的網絡攻擊。」

Similar Posts