暗网系列之:出售可被入侵的RDP服务器的服务,越来越受网络犯罪分子的欢迎

背景介绍

过去的几年中,在暗网市场上兜售可供入侵的远程桌面协议(RDP)服务器,已经成为一项越来越受网络犯罪分子们欢迎的服务。UAS(“Ultimate Anonymity Services”的简称)就是这个领域颇有名气的市场之一。

USA市场

USA市场从2016年2月16日上线至今,除了提供SOCKs代理之外,还额外出售过35,000+个被暴力破解的RDP的服务。

图1:UAS的管理团队在他们的网站上发的第一则公告(俄语和英语版本),详细的描述了他们建立RDP市场的动机。

图片上的是俄语版本,翻译成中文,大概意思是:

大家好!!!今天,我们正式开始提供服务了,为此我们投入了大量的时间和精力。现在,我们以非常低的价格,出售被暴力破解的RDP服务器以及SOCKS。很快,我们还将提供SSH隧道、VPN和Shells。希望您会喜欢!在这里,您会发现所寻找的一切!!!我们将永远乐意听取您关于服务的功能和设计的建议,以及任何改进建议,可以进行在线反馈…

备注:使用我们的服务之前,强烈建议您熟悉我们的规则和定价。在现实世界中,“不知法律不免责(Ignorantia juris non excusat )”是一个共识,在这里也是一样,如果你打破我们的规则,就需要为此付出代价。

UAS提供的RDPs来自全球各地的很多国家;然而,UAS市场遵守东欧国家的网络犯罪规范,不提供独立国家联合体(独联体)的RDPs。分析师收集了来自全球各地不同国家的杨波数据,分析发现:中国、巴西、印度、西班牙和哥伦比亚地区的RDPs被出售的数量最大,统计数据如下:

  • 中国- 7,216 RDPs
  • 巴西- 6,143RDPs
  • 印度- 3,062个 RDPs
  • 西班牙- 1,335个 RDPs
  • 哥伦比亚- 929个 RDPs

图2:被出售的RDPs超过30个的国家的分布情况(评估结果)

但上边的评估结果并不能说是十分准确的,事实上,上述那些国家由于疏于网络安全管理的缘故,可能有更多暴露着的远程桌面连接。

此外,UAS提供了大约300个美国地区的RDPs,FlashPoint的分析师对这些RDP服务器进行分析,发现大多数的RDP服务器集中分布在少数几个特定的邮政编码区号。这种集中性意味着可能存在少数几家在网络安全方面松懈的公司,暴露出了大量的RDPs。

图3:分析显示美国有四个地区存在大量可被入侵的RDPs

UAS数据集中最受欢迎的美国邮政编码的清单如下所示:

  • 20146–阿什本,维吉尼亚州– 52个RDPs
  • 43085–富兰克林县,俄亥俄州- 52个RDPs
  • 94043–圣克拉拉县,加利福尼亚州- 43个RDPs
  • 97086–克拉克默斯县,俄勒冈州- 36个RDPs
  • 94536–阿拉米达县,加利福尼亚州- 30个RDPs

比较USAxDedic市场

FlashPoint的研究人员曾调查过另外一个比较知名的出售RDPs的市场:xDedic,它是UAS的竞争对手,出售的RDPs主要集中在教育、医疗保健、法律、航空和政府机构,针对的国家主要是美国、德国和乌克兰;同样的,研究人员对UAS市场上出售的RDPs的来源进行分析,发现它们主要来自医疗保健、教育和政府机构。

图4:xDedic上RDPs的行业分布

价格方面,抛开这些RDP服务器的来源、操作系统、是否是管理员权限或其他因素,UAS市场上的RDPs的售价大致保持在10美元以内;相比之下,xDedic市场上的RDPs最低售价为10美元,有时甚至超过100美元。到底是什么原因导致了这两个市场在定价方面的差异,目前尚不明确。

有趣的是,UAS在他们的网站的常见问题回答(FAQ)部分贴出了一个他们出售的RDPs的定价模型,详情如下图所示:

图5:UAS 市场上RDPs的定价模型

另外还有一些其他因素可能会使UAS上的RDPs价格升高,例如RDP服务器开放了25端口,或刚刚被添加到网站上的RDPs(少于五小时)。总之,UAS市场上一个RDP的最高售价是15美元。

分析师还注意到很多俄语论坛和一个法语论坛对UAS 和 xDedic市场表现出了值得引人注目的兴趣。

威胁评估

RDP(Remote Desktop Protocol)是微软的一个私有协议,为用户提供了一个图形界面,允许用户通过网络连接到另一台计算机。系统管理员经常使用RDP远程控制服务器和个人电脑。RDP客户端适用于现代大多数操作系统(OS),包括Windows、Linux、UNIX、OS X、iOS和Android;RDP服务器软件适用于Windows、UNIX和OS X操作系统。

攻击者通常使用暴力破解的方式获得RDPs的访问权限,这一招对于那些使用弱密码的用户尤其有效。另外,为了增加暴力破解的效率,网络犯罪分子有时也会使用大型的僵尸网络发起暴力攻击。攻击者通常会在活动初期进行大规模扫描和暴力破解,收集尽可能多的信息。

借助RDP服务器可以远程访问组织的内部资源,因此,一旦黑客获得RDP的登录凭据,攻击者就可以任意操作RDP服务器,例如安装后门程序等;另外,还可以此为跳板,在网络内横向移动,操控更多的设备、窃取更多的数据。需要注意的是,攻击者可能造成的威胁,与他们的能力、动机、目标和目的密切相关。

对于企业而言,为了免于遭受RDPs被恶意利用的威胁,可执行的先发制人的防护措施包括:对任何连接到企业网络上的RDP都进行严格的审核;RDP访问应该设置一个强大而复杂的密码。

总的来说,从UAS市场上较低的RDPs售价来看,出售可入侵的RDPs的服务已经越来越受网络犯罪分子的欢迎了。

原创文章,作者:鹰小编,如若转载,请注明出处:http://www.mottoin.com/106709.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code