核心观点与关键数据
- 远程桌面协议(RDP)概述:RDP由微软开发,提供远程图形界面连接,常见用途包括IT维护、支持团队和远程工作,但在COVID-19期间因居家办公需求激增,成为网络攻击目标。
- 主要漏洞:RDP服务器存在多个关键漏洞,如BlueKeep(CVE-2019-0708)、DejaBlue(CVE-2019-1181/1182)和BlueGate(CVE-2020-0609/0610),风险等级达9.8。
攻击方法
- 检测:攻击者使用Nmap等工具扫描端口3389(默认RDP端口)。
- 攻击渠道:易受攻击的服务器面临三种主要攻击方式,取决于攻击者能力。
- 凭证获取:常见方法包括暴力破解和字典攻击,依赖弱密码习惯。
暗网市场交易
- RDP市集:地下论坛存在RDP市集,低价出售服务器访问权限,价格因地理位置、权限和内容差异。
- 案例研究:Cyberint发现家俱零售商服务器RDP权限在暗网出售,包含备份数据库,攻击者提供屏幕截图作为证据。
预防措施
- 最小化暴露:减少面向互联网的RDP服务器数量。
- 系统更新:确保所有技术已打补丁并更新到最新版本。
- 密码策略:实施高强度密码策略,避免重复和弱密码。
- 多因素认证(MFA):对公开服务器实施MFA,但需注意MFA无法弥补漏洞。
- IP白名单:仅允许白名单IP访问服务器。
- 重点监控:严密监控DMZ、非合规云环境和非安全部署的机器。
研究结论
RDP协议因功能强大和广泛使用而普及,但安全漏洞使其成为攻击重点。组织需采取综合措施降低风险,包括限制RDP暴露、强化密码策略和实施MFA,同时加强监控以应对潜在威胁。
