RDP(remotedesktopprotocol)桌面远程传输协议是一个多通道的协议,让用户连接上提供微软终端机服务的电脑。其中用到的远程数据传输协议为RDP(ReliableDataProtocol)可靠数据协议。因为其默认端口是,所以日常在网络工程师口中会把它亲切地称作“”。简单来说通过端口进行远程连接,可以让你像操作自己的电脑一样操作一台千里之外的电脑,可以对其为所欲为。美国网络犯罪举报中心(IC3)与美国国土安全部(DHS)、联邦调查局(FBI)合作发布了,通过Windows远程桌面协议(RDP)可以进行攻击的安全警报。美国应急小组称,攻击者可以入侵暴露的RDP服务以进行企业盗窃,安装后门或作为其他攻击的跳板。(跳板,简单来说,就是为了隐藏自己的地址,让别人无法查找到自己的位置)“远程管理工具,例如远程桌面协议(RDP),黑客以它作为一种攻击媒介,自从其问世以来一直在上升,随着市场的出现,他们开始销售RDP的连接方式,”“黑客已经找到了可以识别并加以利用的互联网上脆弱的RDP会话的方法,用于危害他人、窃取登录凭证和勒索其他敏感信息。联邦调查局(FBI)和国土安全部(DHS)建议,企业和某些个体户应当及时检查他们的网络所允许的远程访问,并采取相关防护措施,例如在不需要远程访问的时候禁用RDP。“若干年前就有很多人在黑市上售卖被黑客入侵的远程桌面的账户。而现在这种交易依然在继续。据蓝盟IT外包统计,年上半年以来,百分之八十被勒索病毒攻击的中小企业,其最致命的漏洞都是“”端口。简单来说“”端口在内网中,是IT运维人员远程管理电脑的一种便捷方式,不需要额外安装软件,只要启用windows操作系统自带的远程桌面服务也就是开启windows操作系统的端口就可以方便的远程操作及进行日常运维工作。如果要在外网操作企业内网中的windows服务器,只需要将服务器的端口通过网关设备(路由器或者防火墙)将端口发布至公网地址即可,也就是只要连接企业的公网地址的端口就可以直接远程操作企业内网的对应服务器设备。既然“”这么好用,一些IT运维人员为了方便会把重要服务器的端口发布在互联网上,以便于自己可以随时操作,但是安全和便捷往往是对立矛盾的,在方便IT运维人员远程管理的同时,也方便了黑客的远程攻击,黑客可以通过密码爆破的方式对开放端口对windows服务器的管理员密码进行暴力破解(暴力猜解即是穷举法,穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法),现在即使普通的电脑的运算频率足够应付穷举密码所需要的算力,同时很多IT运维人员没有更改管理员默认账号名(Administrator)同时密码可能是弱口令(长度小于10位,不同时包含大小写字母数字特殊符号),最常见的情况是半天之内管理员账号密码就会被黑客通过远程连接“”爆破的方式破解!接下来就是勒索软件即服务(RaaS)的常规套路,投毒,加密,横向传播扩散……可以说对外发布的“”确实是勒索病毒进攻中小企业的不二法门!那么我们该如何防御呢?最好的方式,当然是坚决避免对外网发布“”同时也要避免内网的发布(如果客户端被勒索病毒攻击,勒索病毒一定会横向移动攻击内网服务器的端口),如果一定要发布,蓝盟IT外包建议至少做到以下几点:*设定密码策略,强制设定强壮密码,同时设定密码尝试输入达到一定次数锁定账号;*如果必须要进行远程管理,建议使用vpn或者企业版的远程管理软件;*及时更新补丁,确保服务器操作系统是最新版本;*部署安全软件,针对产生爆破行为的IP地址段进行自动的封锁,或者启用双因子验证提升爆破的难度;*在网络边界部署具有IPS功能的防火墙设备,可以识别扫描及爆破行为,自主进行防御。强调,更改端口为其他的端口,并不能阻止黑客的扫描及爆破攻击,风险与默认的“”相同。如果对“”需要进一步了解,请联系蓝盟IT外包获取免费的咨询。文/上海蓝盟IT外包专家
转载请注明:http://www.aierlanlan.com/cyrz/6722.html
