黑客利用几乎任何漏洞的能力都是执法和小企业面临的最大挑战之一。联邦调查局最近向企业和其他人发出了另一个威胁的警告。黑客已经开始利用远程桌面协议(RDP)以更高的频率进行恶意活动。
据FBI称,自2016年中后期以来,远程桌面协议作为攻击媒介的使用有所增加.RDP攻击的增加部分是由于出售远程桌面协议访问的黑暗市场所致。这些不良行为者已经找到了通过互联网识别和利用易受攻击的RDP会话的方法。
$config[code] not found对于使用RDP远程控制家庭或办公室计算机的小型企业,需要更加警惕,包括实施强密码并定期更改密码。
FBI在其声明中警告说,“使用RDP协议的攻击不需要用户输入,使入侵很难被发现。”
什么是远程桌面协议?
RDP专为远程访问和管理而设计,是一种Microsoft方法,用于简化客户端用户,设备,虚拟桌面和远程桌面协议终端服务器之间的应用程序数据传输。
简而言之,RDP允许您远程控制计算机以管理资源和访问数据。此功能对于不使用云计算并依赖其内部安装的计算机或服务器的小型企业非常重要。
这不是RDP第一次提出安全问题。过去,早期版本存在漏洞,这使得它们容易受到攻击者未经授权访问的中间人攻击。
在2002年至2017年间,Microsoft发布了更新,修复了与远程桌面协议相关的24个主要漏洞。新版本更安全,但FBI声明指出黑客仍在使用它作为攻击的载体。
远程桌面协议黑客:漏洞
FBI发现了几个漏洞 - 但这一切都始于弱密码。
该机构表示,如果您使用字典单词并且不包含大写和小写字母,数字和特殊字符的组合,则您的密码容易受到暴力破解和字典攻击。
使用凭据安全支持提供程序协议(CredSSP)的过时远程桌面协议也存在漏洞。 CredSSP是一个应用程序,它将用户的凭据从客户端委派给目标服务器以进行远程身份验证。过时的RDP使得有可能发起中间人攻击。
其他漏洞包括允许不受限制地访问默认远程桌面协议端口(TCP 3389)并允许无限次登录尝试。
远程桌面协议黑客攻击:威胁
这些是FBI列出的威胁的一些示例:
CrySiS Ransomware: CrySIS勒索软件主要通过开放式RDP端口针对美国企业,使用强力攻击和字典攻击来获取未经授权的远程访问。然后CrySiS将其勒索软件丢弃到设备上并执行它。威胁行为者要求用比特币支付以换取解密密钥。
CryptON Ransomware: CryptON勒索软件利用暴力攻击来获取对RDP会话的访问权限,然后允许威胁行为者在受感染的计算机上手动执行恶意程序。网络演员通常会请求比特币以换取解密指示。
Samsam Ransomware: Samsam勒索软件使用各种攻击,包括攻击启用RDP的计算机,以执行暴力攻击。在2018年7月,Samsam威胁演员使用暴力攻击RDP登录凭据渗透到医疗保健公司。勒索软件能够在检测之前加密数千台机器。
黑暗的网络交换: 威胁演员在Dark Web上买卖被盗的RDP登录凭证。凭证的价值取决于受感染机器的位置,会话中使用的软件以及增加被盗资源可用性的任何其他属性。
远程桌面协议黑客:你如何保护自己?
重要的是要记住,当您尝试远程访问某些内容时,存在风险。而且由于远程桌面协议完全控制系统,您应该监管,监控和管理谁有密切访问权限。
通过实施以下最佳做法,FBI和美国国土安全部表示,您有更好的机会抵御基于RDP的攻击。
- 启用强密码和帐户锁定策略以抵御暴力攻击。
- 使用双因素身份验证。
- 定期应用系统和软件更新。
- 拥有可靠的备份策略和强大的恢复系统。
- 启用日志记录并确保日志记录机制以捕获远程桌面协议登录。将日志保留至少90天。同时,检查登录以确保只有具有访问权限的人使用它们。
您可以在此处查看其余建议。
数据泄露的头条新闻定期出现在新闻中,并且正在向拥有看似无限资源的大型组织发生。虽然保护您的小型企业免受所有网络威胁的影响似乎是不可能的,但如果您拥有适当的协议并且所有各方都有严格的治理,那么您可以将风险和责任降至最低。
图片:FBI