美国三部门联合发布针对远程桌面协议的威胁警报

美国三部门联合发布针对远程桌面协议的威胁警报

美国互联网犯罪投诉中心(IC3)与国土安全部(DHS)和联邦调查局(FBI)合作,发布了有关通过Windows远程桌面协议(RDP)进行攻击的安全威胁警报。虽然针对RDP最普遍的攻击是勒索软件攻击,但攻击者还入侵企业暴露的RDP服务进行盗窃、后门安装或将其作为其他攻击的发起点。

美国计算机应急响应小组(US-CERT)称:“随着黑暗市场上开始出售RDP非法访问服务,利用远程管理工具,如远程桌面协议(RDP)的攻击事件,自2016年年中以来持续增多。网络攻击者开发了通过互联网识别、利用易受攻击的RDP会话的方法,以实现他们泄露用户身份信息、窃取登陆凭证以及勒索其他敏感信息的企图。国土安全部(DHS)和联邦调查局(FBI)建议企业和个人用户及时审查设备远程访问所允许的内容,并采取措施降低威胁发生的可能性,如不需RDP服务时禁用此功能。”

去年,曾有媒体报道,xDedic犯罪市场以每台服务器6美元的价格销售被黑客入侵的远程桌面服务帐户。目前为止,在犯罪市场上出售RDP账户的现象仍在继续。

美国三部门联合发布针对远程桌面协议的威胁警报

xDedic市场上出售的RDP服务器

用于互联网连接设备的搜索引擎Shodan.io也表明,超过200万台运行远程桌面的计算机是直接连接到互联网的。这些服务器被黑客入侵,也只是时间的问题。

美国三部门联合发布针对远程桌面协议的威胁警报

Shodan搜索引擎列出的运行RDP的计算机

CrySiS/Dharma,SamSam,BitPaymer和CryptON等勒索软件便是通过互联网来攻击公众的远程桌面服务器进而感染整个网络系统的。这些攻击的目标是整个网络系统,而不是单个计算机,每台计算机的解密价格为3,000美元到5,000美元不等,而解密整个网络系统的价格则高达50,000美元。

例如,攻击美国高尔夫协会,圣地亚哥港,亚特兰大,以及众多医院的勒索软件都很有可能是通过网络上曝光的远程桌面服务器执行的。因此,所有使用RDP的组织都必须采取严格的保护措施。

保护远程桌面服务器

下面概述了保护RDP服务应该执行的各种步骤,以保护远程桌面服务器免受攻击。

1.勿将RDP服务器直接暴露到网络上

切记!RDP服务器永远不应该直接连接到网络上。相反,用户应将RDP服务器置于VPN或防火墙的保护下,这样只有用户在自己才能获得访问权限。

这样做另一个好处是,攻击者查找服务器并发起暴力攻击会变得更加困难,因为攻击者在尝试猜测密码时会反复登录服务器。如果可以,还应将RDP的TCP端口从默认端口3389更改为非标准端口。

2.使用强密码和多重身份验证

攻击者通常通过暴力破解用户密码来执行远程桌面攻击,因此所有用户都必须拥有强大而复杂的密码。这可以在Windows中使用强密码策略强制执行。

美国三部门联合发布针对远程桌面协议的威胁警报

帐户密码策略

为进一步增强保护力度,用户还应考虑在域登录中添加多因素身份验证。

3.启用帐户锁定策略

通常可以启用帐户锁定策略来防止暴力攻击。这些策略暂时使账户在一定次数的登陆尝试失败后无法登陆。

美国三部门联合发布针对远程桌面协议的威胁警报

帐户锁定政策

由于暴力攻击依赖于使用不同密码反复尝试登录帐户,因此使用此策略会阻止此操作。

4.启用帐户登录审核

通过启用帐户审核策略,管理员可以深入了解哪些帐户重复登录尝试失败。这使管理员可以查明可能成为攻击目标的账户。

美国三部门联合发布针对远程桌面协议的威胁警报

高级审核政策

5.安装安全更新

最后一点,也是尤为重要的一点——更新!更新!更新!对于某些用户来说,可能不能做到及时安全更新,但是为了安全考虑,还是需要尽快升级安装。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/114403.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code