周六傍晚,在网络犯罪分子利用暴露的 RDP 服务器后,美国一家物理安全公司成为攻击目标。到周日,该组织的所有内部服务都无法使用。这篇博客将解开攻击和开放 RDP 端口的危险。
什么是 RDP?
随着向远程工作的转变,IT 团队依靠远程访问工具来管理公司设备并保持节目运行。远程桌面协议 (RDP) 是一种 Microsoft 协议,它使管理员能够访问台式计算机。由于它使用户可以完全控制设备,因此它是威胁参与者的宝贵切入点。
在暗网上销售凭证的“RDP 商店”已经存在多年。xDedic 是最臭名昭著的犯罪论坛之一,曾经吹嘘 80,000 多台被黑服务器出售,最终在成立五年后的 2019 年被 FBI 和欧洲刑警组织关闭。销售 RDP 访问是一个蓬勃发展的行业,因为它可以立即进入组织,无需设计网络钓鱼电子邮件、开发恶意软件或手动搜索零日漏洞和开放端口。攻击者只需不到 5 美元,就可以购买对其目标组织的直接访问权限。
在 COVID-19 爆发后的几个月中,暴露的 RDP 端点数量增加了 127%。随着公司适应远程办公条件,RDP 的使用量激增,传统安全工具几乎不可能区分 RDP 的日常合法应用及其利用。这导致成功的服务器端攻击急剧增加。根据英国国家网络安全中心的说法,RDP 现在是网络犯罪分子(尤其是勒索软件团伙)使用的最常见的攻击媒介。
RDP 妥协的细分
初始入侵
在这个真实世界的攻击中,目标组织有大约 7,500 台设备处于活动状态,其中一台是面向 Internet 的服务器,其 TCP 端口 3389(RDP 的默认端口)打开。换句话说,该端口被配置为接受网络数据包。
检测到来自罕见外部端点的成功传入 RDP 连接,该端点使用了可疑的身份验证 cookie。鉴于该设备受到大量外部 RDP 连接的影响,攻击者很可能是暴力破解的,尽管他们可能使用了漏洞利用或从暗网购买了凭据。
由于端口 3389 上到此服务的传入连接很常见,并且是正常业务的一部分,因此任何其他安全工具都不会标记该连接。
内部侦察
在最初的妥协之后,该设备被发现在其自己的子网内进行网络扫描活动以升级访问权限。扫描后,该设备通过 DCE-RPC 与多个设备建立了 Windows Management Instrumentation (WMI) 连接,这触发了多个警报。
指挥与控制 (C2)
然后,该设备在非标准端口上建立了一个新的 RDP 连接,使用管理身份验证 cookie 连接到网络上从未见过的端点。在此之后观察到 Tor 连接,表明潜在的 C2 通信。
横向运动
然后,攻击者尝试通过 SMB 服务控制管道和 PsExec 横向移动到违规设备子网内的五个设备,这些设备很可能在网络扫描期间被识别。
通过使用本地 Windows 管理工具(PsExec、WMI 和 svcctl)进行横向移动,攻击者设法“在陆地上生活”,从而避开了安全堆栈其余部分的检测。
询问专家
该组织自己的内部服务不可用,因此他们联系了24/7 Ask the Expert服务。网络专家使用 AI 迅速确定了入侵的范围和性质,并开始了补救过程。结果,威胁在攻击者实现其目标之前就被消除了,这些目标可能包括加密挖掘、部署勒索软件或泄露敏感数据。
RDP漏洞:暴露服务器的危险
在上述事件发生之前,已经观察到来自大量罕见外部端点的 RDP 和 SQL 传入连接,这表明该服务器之前已被多次探测。当不必要的服务对互联网开放时,妥协是不可避免的——这只是时间问题。
RDP 尤其如此。在这种情况下,攻击者通过对 RDP 端口的初始访问成功地进行了侦察并打开了外部通信。威胁行为者一直在寻找进入的方法,因此可能被视为合规问题的问题可以轻松、快速地演变为妥协。
失控的遥控器
袭击发生在几个小时之内——当时安全团队正在享受周六晚上的下班时间——并且它以惊人的速度发展,在不到 7 小时内从最初的入侵升级为横向移动。攻击者利用这些人为漏洞是很常见的,他们快速移动并且一直未被发现,直到 IT 团队在周一早上回到他们的办公桌前。
正是出于这个原因,一个不休眠并且可以全天候检测和自主响应威胁的安全解决方案至关重要。自学习人工智能可以跟上以机器速度升级的威胁,并随时阻止它们。
