RDP(remote desktop protocol)桌面远程传输协议是一个多通道的协议,让用户连接上提供微软终端机服务的电脑。其中用到的远程数据传输协议为RDP(Reliable Data Protocol)可靠数据协议。因为其默认端口是3389,所以日常在网络工程师口中会把它亲切的称作“3389”。简单来说通过3389端口进行远程连接,可以让你像操作自己的电脑一样操作一台千里之外的电脑,可以对其为所欲为。
美国网络犯罪举报中心(IC3)与美国国土安全部(DHS)、联邦调查局(FBI)合作发布了,通过Windows远程桌面协议(RDP)可以进行攻击的安全警报。美国应急小组称,攻击者可以入侵暴露的RDP服务以进行企业盗窃,安装后门或作为其他攻击的跳板。(跳板,简单来说,就是为了隐藏自己的地址,让别人无法查找到自己的位置)“远程管理工具,例如远程桌面协议(RDP),黑客以它作为一种攻击媒介,自从其问世以来一直在上升,随着市场的出现,他们开始销售RDP 的连接方式,”
“黑客已经找到了可以识别并加以利用的互联网上脆弱的RDP会话的方法,用于危害他人、窃取登录凭证和勒索其他敏感信息。联邦调查局(FBI)和国土安全部(DHS)建议,企业和某些个体户应当及时检查他们的网络所允许的远程访问,并采取相关防护措施,例如在不需要远程访问的时候禁用RDP。“
若干年前就有很多人在黑市上售卖被黑客入侵的远程桌面的账户。而现在这种交易依然在继续。
据蓝盟IT外包统计,2020年上半年以来,百分之八十被勒索病毒攻击的中小企业,其最致命的漏洞都是“3389”端口。简单来说“3389”端口在内网中,是IT运维人员远程管理电脑的一种便捷方式,不需要额外安装软件,只要启用windows操作系统自带的远程桌面服务也就是开启windows操作系统的3389端口就可以方便的远程操作及进行日常运维工作。如果要在外网操作企业内网中的windows服务器,只需要将服务器的3389端口通过网关设备(路由器或者防火墙)将3389端口发布至公网地址即可,也就是只要连接企业的公网地址的3389端口就可以直接远程操作企业内网的对应服务器设备。
既然“3389”这么好用,一些IT运维人员为了方便会把重要服务器的3389端口发布在互联网上,以便于自己可以随时操作,但是安全和便捷往往是对立矛盾的,在方便IT运维人员远程管理的同时,也方便了黑客的远程攻击,黑客可以通过密码爆破的方式对开放3389端口对windows服务器的管理员密码进行暴力破解(暴力猜解即是穷举法,穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法),现在即使普通的电脑的运算频率足够应付穷举密码所需要的算力,同时很多IT运维人员没有更改管理员默认账号名(Administrator)同时密码可能是弱口令(长度小于10位,不同时包含大小写字母数字特殊符号),最常见的情况是半天之内管理员账号密码就会被黑客通过远程连接“3389”爆破的方式破解!接下来就是勒索软件即服务(RaaS)的常规套路,投毒,加密,横向传播扩散。。。。。。。
可以说对外发布的“3389”确实是勒索病毒进攻中小企业的不二法门!那么我们该如何防御呢?
最好的方式,当然是坚决避免对外网发布“3389”同时也要避免内网的发布(如果客户端被勒索病毒攻击,勒索病毒一定会横向移动攻击内网服务器的3389端口),如果一定要发布,蓝盟IT外包建议至少做到以下几点:
* 设定密码策略,强制设定强壮密码,同时设定密码尝试输入达到一定次数锁定账号;
* 如果必须要进行远程管理,建议使用vpn或者企业版的远程管理软件;
* 及时更新补丁,确保服务器操作系统是最新版本;
* 部署安全软件,针对产生爆破行为的IP地址段进行自动的封锁,或者启用双因子验证提升爆破的难度;
* 在网络边界部署具有IPS功能的防火墙设备,可以识别扫描及爆破行为,自主进行防御。
强调,更改3389端口为其他的端口,并不能阻止黑客的扫描及爆破攻击,风险与默认的“3389”相同。如果对“3389”需要进一步了解,请联系蓝盟IT外包获取免费的咨询。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
