Windows远程桌面协议(RDP)攻击活跃预警

发布时间:2018-10-08浏览次数:118

1. 远程桌面脆弱点

2018927日,IC3发布了针对Windows远程桌面协议(RDP)脆弱点的攻击活动变得活跃的预警,相关信息参考:
https://www.ic3.gov/media/2018/180927.aspx

根据公告,主要为远程桌面协议(RDP)未加固安全配置(非新的漏洞)引发的攻击尝试,虽然针对远程桌面协议(RDP)的攻击活动历史上一直都有,但随着近年来勒索软件的多样发展,远程桌面成为了勒索软件经营团伙比较偏爱的入口,目前网上存在大量开放了远程桌面协议(RDP)的主机,RDP服务默认端口为:TCP 3389,建议尽快做好安全加固配置,以防止被恶意攻击。

2. 脆弱点描述

远程桌面协议(RDP)的未加固安全配置主要存在以下脆弱点:

弱密码,当给用户账号设置的密码为字典单词或不同时包含大写、小写字母,数字和特殊字符的混合密码时,容易受到暴力破解攻击;

未更新的RDP版本使用的CredSSP(凭证安全支持提供程序)协议存在比较新的漏洞(CVE-2018-0886),容易导致被中间人攻击从而被截取到用户密码;

面向互联网不受限制的开放远程桌面协议3389端口,容易导致被僵尸网络自动扫描到端口并加入暴力破解目标任务清单;

未对登录失败尝试次数做限制,容易受到暴力破解攻击。


3.影响版本范围

主要影响开启了远程桌面协议(RDP)又未对其安全加固的Windows系统,已知以下勒索蠕虫利用了RDP做为目标攻击:

CrySiS勒索软件:通过扫描RDP端口并暴力破解密码,成功破解密码后植入勒索软件并执行加密,然后要求支付比特币解密;

CryptON勒索软件:通过扫描RDP端口并暴力破解密码,成功破解密码后攻击者登录系统手动执行加密,然后要求支付比特币解密;

Samsam勒索软件:Samsam使用多种攻击方式,扫描RDP端口并暴力破解密码是其中之一,成功破解密码后攻击者登录系统手动执行加密,然后要求支付比特币解密;

暗网交易:暗网(Dark Web)上有用户公开叫卖开放远程桌面协议(RDP)Windows主机权限。

4. 缓解措施(安全运营建议)

高危:目前针对远程桌面协议(RDP)的攻击活动变得活跃,建议尽快做好安全加固配置。

安全运营建议:

如果需要开启远程桌面进行系统管理,建议开启系统防火墙或IP安全策略限制来源IP,即只允许指定IP访问。

启用本地安全策略(账户策略-密码策略),建议开启密码必须符合复杂性要求和长度最小值,以及启用账户锁定阀值。

考虑使用双因素身份验证措施,比如启用动态Key方式。

保持系统安全更新补丁为最新状态,远程桌面协议(RDP)为内核服务,安装安全更新补丁后需要重启系统生效。

开启系统日志记录或网络安全设备日志记录对访问该端口的源IP进行记录和存档,以便预警和分析其入侵企图。