周六傍晚,在網絡犯罪分子利用暴露的 RDP 服務器后,美國一家物理安全公司成為攻擊目標。到周日,該組織的所有內部服務都無法使用。這篇博客將解開攻擊和開放 RDP 端口的危險。
什么是 RDP?
隨著向遠程工作的轉變,IT 團隊依靠遠程訪問工具來管理公司設備并保持節目運行。遠程桌面協議 (RDP) 是一種 Microsoft 協議,它使管理員能夠訪問臺式計算機。由于它使用戶可以完全控制設備,因此它是威脅參與者的寶貴切入點。
在暗網上銷售憑證的“RDP 商店”已經存在多年。xDedic 是最臭名昭著的犯罪論壇之一,曾經吹噓 80,000 多臺被黑服務器出售,最終在成立五年后的 2019 年被 FBI 和歐洲刑警組織關閉。銷售 RDP 訪問是一個蓬勃發展的行業,因為它可以立即進入組織,無需設計網絡釣魚電子郵件、開發惡意軟件或手動搜索零日漏洞和開放端口。攻擊者只需不到 5 美元,就可以購買對其目標組織的直接訪問權限。
在 COVID-19 爆發后的幾個月中,暴露的 RDP 端點數量增加了 127%。隨著公司適應遠程辦公條件,RDP 的使用量激增,傳統安全工具幾乎不可能區分 RDP 的日常合法應用及其利用。這導致成功的服務器端攻擊急劇增加。根據英國國家網絡安全中心的說法,RDP 現在是網絡犯罪分子(尤其是勒索軟件團伙)使用的最常見的攻擊媒介。
RDP 妥協的細分
初始入侵
在這個真實世界的攻擊中,目標組織有大約 7,500 臺設備處于活動狀態,其中一臺是面向 Internet 的服務器,其 TCP 端口 3389(RDP 的默認端口)打開。換句話說,該端口被配置為接受網絡數據包。
檢測到來自罕見外部端點的成功傳入 RDP 連接,該端點使用了可疑的身份驗證 cookie。鑒于該設備受到大量外部 RDP 連接的影響,攻擊者很可能是暴力破解的,盡管他們可能使用了漏洞利用或從暗網購買了憑據。
由于端口 3389 上到此服務的傳入連接很常見,并且是正常業務的一部分,因此任何其他安全工具都不會標記該連接。
內部偵察
在最初的妥協之后,該設備被發現在其自己的子網內進行網絡掃描活動以升級訪問權限。掃描后,該設備通過 DCE-RPC 與多個設備建立了 Windows Management Instrumentation (WMI) 連接,這觸發了多個警報。
指揮與控制 (C2)
然后,該設備在非標準端口上建立了一個新的 RDP 連接,使用管理身份驗證 cookie 連接到網絡上從未見過的端點。在此之后觀察到 Tor 連接,表明潛在的 C2 通信。
橫向運動
然后,攻擊者嘗試通過 SMB 服務控制管道和 PsExec 橫向移動到違規設備子網內的五個設備,這些設備很可能在網絡掃描期間被識別。
通過使用本地 Windows 管理工具(PsExec、WMI 和 svcctl)進行橫向移動,攻擊者設法“在陸地上生活”,從而避開了安全堆棧其余部分的檢測。
詢問專家
該組織自己的內部服務不可用,因此他們聯系了24/7 Ask the Expert服務。網絡專家使用 AI 迅速確定了入侵的范圍和性質,并開始了補救過程。結果,威脅在攻擊者實現其目標之前就被消除了,這些目標可能包括加密挖掘、部署勒索軟件或泄露敏感數據。
RDP漏洞:暴露服務器的危險
在上述事件發生之前,已經觀察到來自大量罕見外部端點的 RDP 和 SQL 傳入連接,這表明該服務器之前已被多次探測。當不必要的服務對互聯網開放時,妥協是不可避免的——這只是時間問題。
RDP 尤其如此。在這種情況下,攻擊者通過對 RDP 端口的初始訪問成功地進行了偵察并打開了外部通信。威脅行為者一直在尋找進入的方法,因此可能被視為合規問題的問題可以輕松、快速地演變為妥協。
失控的遙控器
襲擊發生在幾個小時之內——當時安全團隊正在享受周六晚上的下班時間——并且它以驚人的速度發展,在不到 7 小時內從最初的入侵升級為橫向移動。攻擊者利用這些人為漏洞是很常見的,他們快速移動并且一直未被發現,直到 IT 團隊在周一早上回到他們的辦公桌前。
正是出于這個原因,一個不休眠并且可以全天候檢測和自主響應威脅的安全解決方案至關重要。自學習人工智能可以跟上以機器速度升級的威脅,并隨時阻止它們。
