寫在前面的話

從2018年開始，大家?guī)缀趺刻於寄苈牭疥P于勒索軟件的消息。除此之外，勒索軟件的更新和升級也從未停止過，比如說Dharma和SamSam這種殺傷力巨大的勒索軟件，變種版本層出不窮。實際上，在攻擊者入侵了一個企業(yè)網絡的遠程桌面協(xié)議(RDP)端口后，他們將能夠直接在目標網絡的主機上安裝勒索軟件。

[[250114]]

這種攻擊切入點是由于缺乏安全保護所導致的，一旦存在這樣的安全問題，攻擊者可以利用暴力破解攻擊輕而易舉地滲透進目標網絡，并向特定位置上傳勒索軟件。由于通過入侵RDP來實現(xiàn)勒索軟件攻擊的比例越來越大，因此我們需要讓整個社區(qū)認識到這個漏洞的重要性。

根據(jù)Coveware對2018年第三季度的勒索軟件攻擊評估，已經有超過80%的勒索軟件都是以RDP作為攻擊切入點的。在這篇文章中，我們將跟大家介紹為何RDP會成為如此高效的攻擊切入點，并告訴組織如何提升自己的安全性。

RDP的歷史

RDP可以追溯到上世紀90年代，該技術跟隨Windows NT 4.0一起發(fā)布，而這個功能允許IT服務提供商在任何地方都能夠跟網絡內部的系統(tǒng)進行通信。在當時，這種方法不僅大大降低了故障頻率，而且還減少了服務支持問題的復雜性。除此之外，它還為新一代的托管服務提供商提供了一種無需與用戶現(xiàn)場見面即可解決問題的工具，并使得業(yè)界能夠迅速擴大自己的服務范圍。

[[250115]]

然而，和大多數(shù)打著“提升便捷性”為slogen的技術一樣，RDP也有自己的弱點：其中最嚴重的一點，就是它為攻擊者提供了一種新的攻擊向量。除此之外，通過RDP訪問目標網絡能夠避開很多終端保護方案，這將使得攻擊者在目標網絡系統(tǒng)內的橫向滲透更加容易實現(xiàn)。

入侵RDP

攻擊者可以通過以下幾種方式入侵RDP：

• 通過類似Shodan這樣的網站進行端口掃描，然后通過暴力破解攻擊獲取RDP會話憑證。
• 在類似XDedic這樣的網站上直接購買和使用暴力破解服務，獲取RDP會話憑證。
• 通過網絡釣魚或社工等方式入侵目標組織的員工電腦，然后利用這種訪問權限來從網絡內部獲取RDP訪問權。

在暗網市場上，有著數(shù)十萬個企業(yè)RDP憑證可隨意購買，只需3美元就可以買到一個。對于網絡犯罪分子來說，這種投入是微不足道的，也就是說，現(xiàn)在通過RDP來發(fā)動勒索軟件攻擊的成本越來越低了。

很多大型組織目前仍在使用RDP，而很多小型企業(yè)卻在沾沾自喜，因為他們認為自己太小而不會成為被攻擊的目標，但他們根本就不知道自己有多么容易被攻擊。

另一個需要注意的是，即使沒有惡意軟件或勒索軟件的存在，暗網中的企業(yè)網絡RDP憑證也一直有人在出售。

如果你發(fā)現(xiàn)自己的企業(yè)網絡受到了Dharma或SamSam這樣的勒索軟件攻擊，那說明這已經是第二波攻擊了，因為在第一波攻擊中你的RDP訪問憑證已經被泄露了…

攻擊向量

RDP所提供的公開訪問以及橫向訪問功能將允許勒索軟件感染目標網絡內的所有設備，包括個人設備、服務器和備份系統(tǒng)在內。

除此之外，攻擊者還可以利用RDP實現(xiàn)賬號提權，并創(chuàng)建RDP會話，然后在拿到訪問權限之后安裝和執(zhí)行各種應用程序。在惡意軟件的幫助下，攻擊者將能夠獲取到目標系統(tǒng)的命令控制權限，最終實現(xiàn)勒索軟件的感染。

保護RDP

為了增強RDP的安全性，企業(yè)應該從預防、響應和恢復這三個因素出發(fā)進行考量：

• 雙因素驗證(2FA)：給遠程會話和所有的遠程訪問賬號開啟雙因素身份驗證功能，可以保護絕大多數(shù)企業(yè)免受勒索軟件的攻擊。點擊【這里】了解更多關于RDP-2FA的內容。
• 限制訪問：通過設置防火墻來限制RDP的訪問權，使用VPN來訪問，修改默認端口，或者通過IP地址白名單來緩解此類安全風險。
• 終端替代方案：及時檢測網絡異常(例如在辦公室工作站試圖建立RDP會話)，在攻擊發(fā)生之前阻止可疑行為。
• 災難恢復(DR)與應急響應(IR)：一個企業(yè)的RDP配置是否安全，還跟公司的DR和IR方案有關系。備份系統(tǒng)應該跟公司的網絡隔離，而IR方案能夠幫助公司在攻擊發(fā)生時盡量減少應對的成本和時間，并以最快速度處理攻擊事件。

總結

RDP帶來的安全風險是非常大的，如果沒有適當?shù)墓芾?，可能會給企業(yè)帶來災難性的后果。無論規(guī)模大小，每一個組織都應該優(yōu)先考慮提升RDP訪問的安全保護，以避免受到勒索軟件的感染，并造成數(shù)據(jù)和財產損失。