Sophos：網絡罪犯利用RDP攻擊企業

網絡及端點安全供應商Sophos發表最新研究報告《遠端桌面通訊協定漏洞曝光：威脅已迫在眉睫》(RDP Exposed: The Threat That’s Already at your Door) ，披露網絡罪犯如何利用遠端桌面通訊協定 (RDP) 攻擊各大企業。

Sophos自2011年起提出網絡罪犯利用RDP漏洞攻擊的情況，去年，其中兩種針對性惡意軟件攻擊 ── Matrix 及 SamSam 背後的網絡犯罪集團，幾乎已放棄其他入侵網絡的方法，轉而利用RDP漏洞。

Sophos安全專家暨報告的首席研究員Matt Boddy表示：「最近一款綽號為 BlueKeep (CVE-2019-0708)的RDP遠端程式碼執行漏洞備受傳媒關注，這個嚴重漏洞可於數小時內引發全球性的惡意軟件大爆發。然而BlueKeep只是冰山一角，所以預防RDP漏洞威脅絕不止於修補系統以防範BlueKeep，IT管理員必須加倍留意RDP的整體運作情況，因為研究發現，網絡罪犯毫不間斷地利用密碼猜測攻擊訪尋因RDP漏洞而變得易於入侵的電腦。」

Sophos這項最新研究指出攻擊者幾乎能即時發現連接上互聯網，並啟用了RDP功能的裝置。為印證上述發現，Sophos分別於全球10個地區設置低互動蜜罐以評估及量化RDP漏洞帶來的風險。

研究報告主要發現：
1.全部10個蜜罐均於一日內收到嘗試登入的記錄
2.RDP漏洞使相關電腦在短短84秒內已經曝光
3.所有RDP蜜罐於 30 日內合共錄得4,298,513 次登入失敗，平均約每6秒便有一次

業界一般認為網絡罪犯透過Shodan等網站尋找開放的RDP漏洞源頭，但Sophos研究強調他們其實會利用自己的工具和技術，不一定要依賴第三方網站去尋找存取途徑。

Sophos根據研究結果識別出黑客攻擊模式的三大特徵：The ram、The swarm 和The hedgehog。

The ram是專為破解管理員密碼而設的策略，例子有一名攻擊者在10日內嘗試登入設於愛爾蘭的蜜罐109,934次，最後只用了三個用戶名稱就能成功存取。

The swarm手法會利用順序用戶名稱及數目有限的最常見密碼：一名攻擊者於14分鐘內以用戶名稱「ABrown」嘗試登入位於巴黎的蜜罐9次，然後轉用「BBrown」、「CBrown」、「DBrown」，如此類推，再轉用「A.Mohamed」、「AAli」、「ASmith」與其他用戶名稱重覆以上試探模式。

The hedgehog是先進行大量攻擊活動，緊接著較長的靜止時間，例如巴西的蜜罐錄得每次的攻擊高峰均來自同一IP地址，歷時約4小時，當中包括3,369 到5,199次密碼猜測。

Matt Boddy解釋RDP漏洞曝光對企業的影響：「現今全球有超過300萬部裝置可透過RDP存取，並已成為網絡罪犯偏好的切入點。Sophos一直有談及攻撃者如何利用針對性勒索軟件如BitPaymer、Ryuk、Matrix和SamSam。他們幾乎已完全棄用其他方法，單靠暴力破解RDP 密碼就可成功入侵企業。由於所有蜜罐因RDP而於網上曝光，並在數小時內已被攻擊者發現，因此企業必須儘可能減少使用RDP功能，以及確保公司內的密碼管理行之有效。企業亦必須對症下藥，採取適當的安全協議，抵禦無休止的網絡攻擊。」