诊断勒索软件部署协议(RDP)-低调大师

诊断勒索软件部署协议(RDP)

2021-10-24 532

前言

远程桌面协议(RDP)是最流行的初始勒索软件攻击媒介，并且多年来一直如此。针对2020年Unit 42事件响应和数据泄露报告，Unit 42研究了1,000多起事件的数据，发现在50%的勒索软件部署案例中，RDP是最初的攻击媒介。在2021年Cortex Xpanse攻击面威胁报告中，Cortex Xpanse研究人员发现RDP占总暴露的30%，是第二位最常见暴露的两倍多。

RDP是Microsoft Windows系统上的一种协议，旨在允许用户远程连接和控制远程系统。最常见的合法用途是允许IT支持远程控制用户的系统以解决问题。最近，RDP在云计算中变得流行，用于访问云环境中的虚拟机(VM)或远程管理云资产。

如果将RDP公开在一个被遗忘的系统、云实例、先前受网络分段保护或通过直接连接到互联网的设备上，就很容易在无意中暴露RDP。更糟糕的是，RDP已变得更广泛、更暴露并且具有更普遍的风险，可能导致攻击(特别是勒索软件部署)、数据丢失、代价高昂的停机时间和补救工作，以及对组织的品牌损害。

为什么RDP如此危险?

RDP是威胁参与者最喜欢的目标，因为一旦攻击者进入，他们就可以完全访问系统(甚至可以达到被盗用户帐户的级别)。如果管理员帐户受到攻击，那将是一场灾难。即使更受限制的用户帐户遭到入侵，攻击者也只需要在该系统上找到另一个漏洞来提升权限并获得更多访问权限。

对于恶意行为者来说，要找到暴露的RDP需要一个简单的nmap脚本，该脚本会扫描Internet上的开放端口3389(默认RDP端口)。今天，攻击者正在不断扫描3389端口，如图X所示。

根据Cortex Xpanse的研究，攻击者可以在45分钟内扫描整个互联网。所以一旦RDP暴露了，攻击者就会发现并且通过多种方式进入：

使用窃取的凭据登录。
强制登录(如果实现允许无限制的登录尝试)。
如果RDP版本过时或使用有缺陷的加密，则执行中间人攻击。
利用旧版RDP中的已知漏洞，例如BlueKeep。

避免勒索软件彩票

恶意行为者并不总是针对特定目标，通常情况下，他们只是在寻找那些通过攻击能带来回报的漏洞。勒索软件就像是一种邪恶的彩票系统，您只需打开门就可以进行游戏，例如RDP。

任何组织的第一步都是通过比对手更快地扫描漏洞来规避RDP风险，并确保对所有连接互联网的设备具有完全的可见性和完整的记录系统。如果这些漏洞存在于外部IP空间中，则漏洞扫描程序无法找到它们，因此您需要从外向内进行扫描。很多较为先进的公司使用平均库存时间(MTTI)来衡量他们扫描完整库存和评估潜在风险的速度。

确保您没有不必要的RDP暴露的第一种方法是在所有不需要的系统上简单地禁用RDP。对于需要RDP的系统，请遵循以下安全措施：

将RDP置于虚拟专用网络(虚拟网络)之后。
启用多重身份验证(MFA)。降低与被盗凭据相关的风险的最佳方法是确保在所有用户帐户上启用MFA。
限制登录尝试。同样，为了降低暴力攻击的风险，限制失败的登录尝试，禁止无限制的尝试。
为断开连接的会话设置时间限制并自动结束达到该限制的会话。
考虑允许列表，以便只有经过批准的IP地址才能连接到RDP服务器。
部署互联网规模的攻击面监控解决方案，例如Cortex Xpanse，以监控RDP或其他远程访问服务的意外暴露。

优先考虑RDP

到现在为止，应该清楚为什么RDP=勒索软件部署协议。RDP配置应该是所有IT卫生计划中的一个高优先级项目。它是一种具有危险默认设置的协议，用户很容易以危险的方式启用或使用。

如果配置不当，并且您的组织很不幸的成为勒索软件运营商的目标时，RDP将被用作攻击媒介。这不是理论上的风险，这是一个简单且确定的事实。

无论您是否打算公开RDP，这些暴露都发生在Internet范围内，而不仅仅是在您已知的IP空间上。这意味着防御者必须在互联网范围内监控任何意外或配置错误的实现，因为可以确定的是此时攻击者也在监控。

本文翻译自：https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/如若转载，请注明原文地址。

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202110/687024.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

高中学生发现了Exterity IPTV的漏洞

伊利诺伊州的214镇中学区被六所不同的学校同时入侵，注意，这不仅仅是一个精心策划的恶作剧。网络安全界的大明星、刚毕业的高中生Minh Duong发现并利用了该区Exterity IPTV系统中的一个零日漏洞。幸运的是，Minh和他的伙伴只是对学校的管理人员开了个小小的玩笑，并及时向Exterity报告了该漏洞。但到目前为止，该公司还没有对Minh的披露作出任何回应，也没有对外宣称将要做任何缓解措施。该高中生称，如果在接下来的几次联系中都没有收到他们的回复，他将发表博文公布该漏洞的详细信息，该Exterity IPTV 的privesc漏洞也将会被命名为CVE-2021-42109。 Big Rick 被称为 " Big Rick "的恶作剧在该区产生了很大的影响，他们劫持了该区IPTV系统上的每台电视、投影仪和显示器，播放瑞克-阿斯特利的经典视频 "Never Gonna Give You Up "。整个镇区的投影仪和电视都是连接在一起的，它们可以通过一个带有三个Exterity工具的蓝色盒子来控制。这三个工具分别是AvediaPlayer接收器，AvediaStream编码器...

2021-10-24

532

Eurynome Cloud v2.5.5.70 已经发布，Eurynome Cloud 是一款企业级微服务架构和服务能力开发平台。基于Spring Boot 2.5.5、Spring Cloud 2020.0.4、Spring Cloud Alibaba 2021.1、Nacos 2.0.3 等最新版本开发，遵循SpringBoot编程思想，高度模块化和可配置化。具备服务发现、配置、熔断、限流、降级、监控、多级缓存、分布式事务、工作流等功能 v2.5.5.70 更新内容重大更新在现有架构基础之上，集成 Redisson 客户端。与 Spring Data Redis 同时使用，支持 Redisson 与 Lettuce 或 Jedis 共存。重构核心包 eurynome-cloud-data 内主要 Configuration 代码。让各个 Configuration 职责更清晰、代码更内聚，更加便于理解、使用及扩展。增加 WebSocket 核心代码模块，全面使用STOMP上层协议，支持 WebSocket 集群 Session共享、信息广播及点对点发送、在线统计，可方便拓...

2021-10-24

602

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。