周六傍晚,在網絡犯法分子利用曝光的 RDP 服務器后,美國一家物理安全公司成為進攻目標。到周日,該組織的所有內部服務都無法採用。這篇博客將解開進攻和開放 RDP 端口的危險。
什麼是 RDP?
跟著向遠程工作的轉變,IT 團隊依附遠程拜訪工具來控制公司設施并維持節目運行。遠程桌面協議 (RDP角子老虎機心得) 是一種 Microsoft 協議,它使控制員能夠拜訪臺式算計機。由于它採用戶可以完全管理設施,因老虎機獎金最大化此它是恐嚇介入者的寶貴切入點。
在暗網上銷售憑證的RDP 角子老虎機勝率數據商店已經存在長年。xDedic 是最臭名昭著的犯法論壇之一,曾經吹牛 80,000 多臺被黑服務器出售,終極在成立五年后的 2024 年被 FBI 和歐洲刑警組織關閉。銷售 RDP 拜訪是一個蓬勃發展的行業,由於它可以當即進入組織,無需設計網絡釣魚電子郵件、開闢惡意軟件或手動搜索零日漏洞和開放端口。進攻者只需不到 5 美元,就可以買入對其目標組織的直接拜訪權限。
在 COV-19 爆發后的幾個月中,曝光的 RDP 端點數目增加了 127%。跟著公司安適遠程辦公前提,RDP 的採用量激增,傳統安全工具幾乎不可能分辨 RDP 的日常正當應用及其利用。這導致勝利的服務器端進攻急劇增加。依據英國國家網絡安全中央的說法,RDP 目前是網絡犯法分子(尤其是敲詐軟件團伙)採用的最常見的進吃角子老虎機網站贏錢攻前言。
RDP 妥協的細分
初始入侵
在這個真實世界的進攻中,目標組織有大概 7,500 臺設施處于活動狀態,此中一臺是面向 Internet 的服務器,其 TCP 端口 3389(RDP 的默認端口)打開。換句話說,該端口被部署為接納網絡數據包。
檢測到來自罕見外部端點的勝利傳入 RDP 連結,該端點採用了可疑的地位驗證 cookie。鑒于該設施遭受大批外部 RDP 連結的陰礙,進攻者很可能是暴力破解的,盡吃角子老虎機註冊免費管他們可能採用了漏洞利用或從暗網買入了憑據。
由于端口 3389 上到此服務的傳入連結很常見,并且是正常業務的一部門,因此任何其他安全工具都不會標誌該連結。
內部偵察
在起初的妥協之后,該設施被發明在其自己的子網內進行網絡掃描活動以升級拜訪權限。掃描后,該設施通過 DCE-RPC 與多個設施創建了 Windows Management Instrumentation (WMI) 連結,這引發了多個警報。
指揮與管理 (C2)
然后,該設施在非尺度端口上創建了一個新的 RDP 連結,採用控制地位驗證 cookie 連結到網絡上從未見過的端點。在此之后觀測到 Tor 連結,表明潛在的 C2 通訊。
橫向運動
然后,進攻者嘗試通過 SMB 服務管理管道和 PsExec 橫向挪動到違規設施子網內的五個設施,這些設施很可能在網絡掃描時期被辨別。
通過採用本地 Windows 控制工具(PsExec、WMI 和 svcctl)進行橫向挪動,進攻者辦法在陸地上生活,從而避開了安全堆棧其余部門的檢測。
查問專家
該組織自己的內部服務不可用,因此他們聯系了24/7 Ask the Expert服務。網絡專家採用 AI 趕快確認了入侵的范圍和性質,并開始了彌補過程。結局,恐嚇在進攻者實現其目標之前就被打消了,這些目標可能包含有加密發掘、配置敲詐軟件或泄露敏感數據。
RDP漏洞:曝光服務器的危險
在上述事件發作之前,已經觀測到來自大批罕見外部端點的 RDP 和 SQL 傳入連結,這表明該服務器之前已被多次探測。當不必須的服務對互聯網開放時,妥協是不可避免的——這只是時間疑問。
RDP 尤其如此。在這種場合下,進攻者通過對 RDP 端口的初始拜訪勝利地進行了偵察并打開了外部通訊。恐嚇行為者一直在尋找進入的想法,因此可能被視為合規疑問的疑問可以輕松、快速地演變為妥協。
失控的遙控器
襲擊發作在幾個小時之內——那時安全團隊正在享受周六晚上的放工時間——并且它以驚人的速度發展,在不到 7 小時內從起初的入侵升級為橫向挪動。進攻者利用這些人為漏洞是很常見的,他們快速挪動并且一直未被發明,直到 IT 團隊在周一早上回到他們的辦公桌前。
正是出于這個理由,一個不休眠并且可以全天候檢測和自主響應恐嚇的安全辦理方案至關主要。自吸取人工智能可以跟上以機械速度升級的恐嚇,并隨時阻止它們。