缓解远程桌面协议（RDP）攻击的7条建议

背景介绍

• 2016年6月，卡巴斯基实验室研究人员揭露，黑客利用远程桌面协议(RDP)窃取85,000台来自医院、学校、航空公司和政府机构的服务器，还公开在地下黑市贩卖;
• 2017年4月，黑客利用RDP终端与俄罗斯银行的8台ATM机建立连接，吐出80万美元存款;
• 2017年6月，勒索软件SamSam也是使用RDP成功感染了大约7,000台Windows PC和1,900台服务器;
• 2017年8月，根据Rapid7 公司安全专家进行的一项研究结果显示，截至2017年7月，全球仍有410万个远程桌面协议(RDP)终端公开暴露在网络上，可以想象，，如果企业没有妥善保护RDP，网络和端点安全将受到严重威胁;
• 2018年3月，微软远程桌面协议(RDP)再曝安全漏洞，几乎所有版本的Windows操作系统都受其影响，可能允许远程攻击者利用远程桌面协议(RDP)和Windows远程管理(WinRM)窃取数据并运行恶意代码。

近年来，远程桌面协议(RDP)中发现的漏洞让大家将目光都聚焦在它身上，种种案例也都表明RDP终端已经成为黑客入侵电脑的管道，也成为勒索软件最主要的攻击媒介。2018年9月，互联网犯罪投诉中心(IC3)与FBI和DHS就合作发布了一项警报，原因是越来越多的勒索软件和数据盗窃事件利用远程桌面协议(RDP)作为攻击媒介。

攻击者不仅反复利用暴露于互联网的RDP服务，在属于众多主要组织的系统和网络上安装勒索软件，还利用RDP在企业系统上安装加密工具、键盘记录程序、后门程序以及其他恶意软件。如今，许多攻击者已经通过RDP服务在企业网络中建立了立足点，以提升特权、收集凭证、在受损环境中横向移动，并为误导目的设置错误标记。

在下述这篇文章中，我们将简要的探讨什么是RDP以及RDP攻击?为什么我们需要RDP?它用于企业端点的最常见方式有哪些?然后，我们将探讨企业如何确保RDP的安全使用，或者在适当的时候，如何确保它没有被使用。

什么是RDP?

远程桌面协议是Microsof(微软)公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下，该协议的客户端代理内置在微软的操作系统中，但也可以安装在非微软操作系统中，例如苹果的操作系统、不同版本的Linux，甚至还可以安装在移动操作系统中，例如Android。

RDP的服务器端安装在微软操作系统上，从客户端代理接收请求，显示发布应用程序的图，或者远程访问系统本身。在默认情况下，系统在端口3389来监听来自客户端的通过RDP的连接请求。

RDP在企业的最常用方式?

通常情况下，RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问，或者发布用于中央使用的应用程序。该协议还常被桌面管理员用来远程访问用户系统，以协助排除故障。如果RDP没有正确配置的话，这种特定功能将会给企业带来威胁，因为未授权访问者将可以访问关键企业系统。

什么是RDP攻击?

在RDP攻击中，犯罪分子会主动寻找不安全的RDP服务来利用和访问企业网络。通常来说，想要实现RDP攻击非常容易，因为许多组织根本无法保护RDP服务免受未经授权的访问。

安全自动化和事件响应技术提供商Demisto的联合创始人Rishi Bhargava表示，

RDP攻击发展趋势：自动化

攻击者喜欢以RDP为目标，因为这种协议非常易于使用，并且能够提供完全控制受损系统的机会。更重要的是，它使攻击者能够通过平常用于合法目的的协议来访问系统，因此，防御者更难以检测到这种恶意活动。

Microsoft RDP为用户提供了一种“从运行Windows的另一台计算机连接到远程Windows系统”的方法。它提供远程显示和输入功能，允许个人访问和使用远程Windows系统，就像他们实际坐在设备前面一样。例如，通过RDP，您可以使用家用Windows PC访问工作计算机，并在其上执行与工作相同的任务。

组织通常可以远程访问设备，因此支持人员可以访问它们以解决问题并修复问题，而无需物理接触系统。虽然该功能非常有用，但许多组织无法正确保护可访问远程桌面的帐户，例如，不要求强密码，不启用网络级别身份验证，也不限制可通过远程桌面登录的用户等等。

特权帐户管理工具提供商Thycotic的首席安全科学家Joseph Carson表示，

攻击者只需要使用暴力破解和彩虹表的方式，就能够轻易的破解这些弱口令，从而获取对系统的完全访问权限，以实现窃取敏感数据、植入恶意软件等恶意目的。Carson表示，

除此之外，攻击者也可以简单的从其他犯罪分子手中购买密码。近年来，众多暗网市场如雨后春笋般涌现，并以低至3美元的价格出售受损的RDP服务器访问权限。安全厂商McAfee和Flashpoint就曾报道称，在一家名为Ultimate Anonymity Service(UAS)的商店中，就销售用于访问全球35,000至40,000台RDP服务器的密码，其中包括属于政府、医疗保健和其他主要组织的服务器。

Flashpoint高级分析师Luke Rodeheffer表示，

7条缓解建议

鉴于上述趋势，安全专家建议您可以通过下述措施缓解RDP攻击对企业造成的影响：

1. 使用强密码

使用强大的用户名和密码进行RDP访问。Sophos公司首席研究科学家Chet Wisniewski表示，对于缓解RDP攻击而言，使用长而安全的密码组合是一个非常好的办法。尤其是对于管理账户而言，还需要启用双因素身份验证，并始终隐藏VPN后的访问权限。

Wisniewski称，

仅从默认的“admin / administrator”更改登录凭据，可以显著降低暴力攻击成功率。

2. 实施基于角色的访问控制

组织需要限制具有RDP控制台管理员访问权限的用户数，此外，还需要限制具有此类访问权限的用户的具体权限。Demisto公司的Bhargava表示，

3. 为RDP启用网络级别身份验证(NLA)

网络级别身份验证可以提供额外的保护层。启用NLA后，任何尝试通过RDP连接到远程系统的用户都需要在建立会话前，先对其身份进行验证。Arntz表示，

4. 更改RDP端口像

Shodan这样的服务器，允许攻击者可以轻松的找到暴露在网络上的运行RDP的系统。对此，Malwarebytes的首席情报记者Pieter Arntz表示，更改您的RDP端口可以确保那些搜寻开放式RDP端口的端口扫描器不会扫描到您的RDP系统。默认情况下，服务器会在端口3389上侦听TCP和UDP。

Flashpoint公司的Rodeheffer还警告称，

5. 跟踪您的RDP服务器

了解您的网络环境中哪些系统启用了RDP服务。您需要确保网络上没有流氓或未经批准的RDP服务器，尤其是直接连接到互联网的任何东西。自动威胁管理提供商Vectra的高级产品经理Jacob Sendowski表示，

6. 使用RDP网关RDP网关

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!