周六傍晚，在網(wǎng)絡(luò)犯罪分子利用暴露的 RDP 服務(wù)器后，美國一家物理安全公司成為攻擊目標(biāo)。到周日，該組織的所有內(nèi)部服務(wù)都無法使用。這篇博客將解開攻擊和開放 RDP 端口的危險。

什么是 RDP？

隨著向遠(yuǎn)程工作的轉(zhuǎn)變，IT 團(tuán)隊依靠遠(yuǎn)程訪問工具來管理公司設(shè)備并保持節(jié)目運行。遠(yuǎn)程桌面協(xié)議 (RDP) 是一種 Microsoft 協(xié)議，它使管理員能夠訪問臺式計算機(jī)。由于它使用戶可以完全控制設(shè)備，因此它是威脅參與者的寶貴切入點。

在暗網(wǎng)上銷售憑證的“RDP 商店”已經(jīng)存在多年。xDedic 是最臭名昭著的犯罪論壇之一，曾經(jīng)吹噓 80,000 多臺被黑服務(wù)器出售，最終在成立五年后的 2019 年被 FBI 和歐洲刑警組織關(guān)閉。銷售 RDP 訪問是一個蓬勃發(fā)展的行業(yè)，因為它可以立即進(jìn)入組織，無需設(shè)計網(wǎng)絡(luò)釣魚電子郵件、開發(fā)惡意軟件或手動搜索零日漏洞和開放端口。攻擊者只需不到 5 美元，就可以購買對其目標(biāo)組織的直接訪問權(quán)限。

在 COVID-19 爆發(fā)后的幾個月中，暴露的 RDP 端點數(shù)量增加了 127%。隨著公司適應(yīng)遠(yuǎn)程辦公條件，RDP 的使用量激增，傳統(tǒng)安全工具幾乎不可能區(qū)分 RDP 的日常合法應(yīng)用及其利用。這導(dǎo)致成功的服務(wù)器端攻擊急劇增加。根據(jù)英國國家網(wǎng)絡(luò)安全中心的說法，RDP 現(xiàn)在是網(wǎng)絡(luò)犯罪分子（尤其是勒索軟件團(tuán)伙）使用的最常見的攻擊媒介。

RDP 妥協(xié)的細(xì)分

初始入侵

在這個真實世界的攻擊中，目標(biāo)組織有大約 7,500 臺設(shè)備處于活動狀態(tài)，其中一臺是面向 Internet 的服務(wù)器，其 TCP 端口 3389（RDP 的默認(rèn)端口）打開。換句話說，該端口被配置為接受網(wǎng)絡(luò)數(shù)據(jù)包。

檢測到來自罕見外部端點的成功傳入 RDP 連接，該端點使用了可疑的身份驗證 cookie。鑒于該設(shè)備受到大量外部 RDP 連接的影響，攻擊者很可能是暴力破解的，盡管他們可能使用了漏洞利用或從暗網(wǎng)購買了憑據(jù)。

由于端口 3389 上到此服務(wù)的傳入連接很常見，并且是正常業(yè)務(wù)的一部分，因此任何其他安全工具都不會標(biāo)記該連接。

內(nèi)部偵察

在最初的妥協(xié)之后，該設(shè)備被發(fā)現(xiàn)在其自己的子網(wǎng)內(nèi)進(jìn)行網(wǎng)絡(luò)掃描活動以升級訪問權(quán)限。掃描后，該設(shè)備通過 DCE-RPC 與多個設(shè)備建立了 Windows Management Instrumentation (WMI) 連接，這觸發(fā)了多個警報。

指揮與控制 (C2)

然后，該設(shè)備在非標(biāo)準(zhǔn)端口上建立了一個新的 RDP 連接，使用管理身份驗證 cookie 連接到網(wǎng)絡(luò)上從未見過的端點。在此之后觀察到 Tor 連接，表明潛在的 C2 通信。

橫向運動

然后，攻擊者嘗試通過 SMB 服務(wù)控制管道和 PsExec 橫向移動到違規(guī)設(shè)備子網(wǎng)內(nèi)的五個設(shè)備，這些設(shè)備很可能在網(wǎng)絡(luò)掃描期間被識別。

通過使用本地 Windows 管理工具（PsExec、WMI 和 svcctl）進(jìn)行橫向移動，攻擊者設(shè)法“在陸地上生活”，從而避開了安全堆棧其余部分的檢測。

詢問專家

該組織自己的內(nèi)部服務(wù)不可用，因此他們聯(lián)系了24/7 Ask the Expert服務(wù)。網(wǎng)絡(luò)專家使用 AI 迅速確定了入侵的范圍和性質(zhì)，并開始了補(bǔ)救過程。結(jié)果，威脅在攻擊者實現(xiàn)其目標(biāo)之前就被消除了，這些目標(biāo)可能包括加密挖掘、部署勒索軟件或泄露敏感數(shù)據(jù)。

RDP漏洞：暴露服務(wù)器的危險

在上述事件發(fā)生之前，已經(jīng)觀察到來自大量罕見外部端點的 RDP 和 SQL 傳入連接，這表明該服務(wù)器之前已被多次探測。當(dāng)不必要的服務(wù)對互聯(lián)網(wǎng)開放時，妥協(xié)是不可避免的——這只是時間問題。

RDP 尤其如此。在這種情況下，攻擊者通過對 RDP 端口的初始訪問成功地進(jìn)行了偵察并打開了外部通信。威脅行為者一直在尋找進(jìn)入的方法，因此可能被視為合規(guī)問題的問題可以輕松、快速地演變?yōu)橥讌f(xié)。

失控的遙控器

襲擊發(fā)生在幾個小時之內(nèi)——當(dāng)時安全團(tuán)隊正在享受周六晚上的下班時間——并且它以驚人的速度發(fā)展，在不到 7 小時內(nèi)從最初的入侵升級為橫向移動。攻擊者利用這些人為漏洞是很常見的，他們快速移動并且一直未被發(fā)現(xiàn)，直到 IT 團(tuán)隊在周一早上回到他們的辦公桌前。

正是出于這個原因，一個不休眠并且可以全天候檢測和自主響應(yīng)威脅的安全解決方案至關(guān)重要。自學(xué)習(xí)人工智能可以跟上以機(jī)器速度升級的威脅，并隨時阻止它們。