1. 引言
Windows系統(tǒng)遠(yuǎn)程桌面協(xié)議(RDP)長期以來一直是勒索軟件攻擊中最常見的初始攻擊向量�。根據(jù)2020年Unit 42的《事件響應(yīng)與數(shù)據(jù)泄露報(bào)告》,Unit 42對(duì)超過1000起安全事件的數(shù)據(jù)進(jìn)行分析后發(fā)現(xiàn)����,在50%的勒索軟件部署案例中,攻擊者首先通過RDP入侵系統(tǒng)。
而在2021年發(fā)布的《Cortex Xpanse攻擊面威脅報(bào)告》中,研究人員指出�����,RDP暴露在外的占比高達(dá)30%,幾乎是第二常見暴露向量的兩倍以上。這表明RDP暴露不僅為勒索攻擊打開了方便之門,也成為企業(yè)網(wǎng)絡(luò)安全防御中的重大隱患����。
2. 典型案例
這是一個(gè)攻擊者通過暴力破解RDP安裝勒索軟件的案例(外網(wǎng)案例)��,這次被破解的系統(tǒng)并未使用默認(rèn)的RDP端口。攻擊者在約17分鐘內(nèi)完成了對(duì)兩臺(tái)設(shè)備(包括一臺(tái)域控制器)的勒索軟件安裝。
2.1 時(shí)間線
| 時(shí)間 | 操作 |
|---|
| 7:00 | RDP登錄xxx.xxx.45.98 |
| 7:01 | 打開任務(wù)管理器(通常是為了查看其他誰已登錄) |
| 7:03 | 投放并運(yùn)行網(wǎng)絡(luò)掃描工具 |
| 7:08 | 通過RDP登錄域控制器(DC) |
| 7:10 | 在域控制器上打開任務(wù)管理器 |
| 7:10 | 在域控制器上投放并運(yùn)行網(wǎng)絡(luò)掃描工具 |
| 7:13 | 在域控制器桌面上投放Harma勒索軟件并運(yùn)行 |
| 7:17 | 在入侵入口處投放Harma勒索軟件并運(yùn)行 |
往期文章中我們也介紹了相關(guān)案例,通過對(duì)受害者運(yùn)維機(jī)長期的RDP暴力破解后�,成功登錄并橫向滲透控制獲取多臺(tái)服務(wù)器權(quán)限�,最終一并實(shí)施加密����,詳情可見【成功案例】RDP暴露引發(fā)的蝴蝶效應(yīng):LockBit組織利用MSF工具及永恒之藍(lán)漏洞進(jìn)行勒索入侵
3. 場景還原
3.1 場景設(shè)置
本次模擬攻擊場景中,黑客首先利用空間測繪引擎進(jìn)行信息收集�����,將檢測到開放RDP端口的IP地址匯總為TXT文件�,并導(dǎo)入NLBrute工具進(jìn)行密碼爆破����,通過高效密碼字典對(duì)目標(biāo)服務(wù)器進(jìn)行暴力破解,成功獲取服務(wù)器權(quán)限����。隨后��,攻擊者使用網(wǎng)絡(luò)識(shí)別和密碼噴灑工具對(duì)內(nèi)網(wǎng)環(huán)境進(jìn)行深入信息收集,逐步橫向滲透���,擴(kuò)大受控機(jī)器的數(shù)量。最終�����,利用xfreerdp和mstsc工具實(shí)現(xiàn)RDP登錄�����,并對(duì)目標(biāo)系統(tǒng)執(zhí)行實(shí)時(shí)勒索加密���,完成整個(gè)攻擊鏈的模擬���。
3.2 攻擊路線圖
3.3 攻擊復(fù)現(xiàn)
- 黑客通過某資產(chǎn)測會(huì)引擎獲取互聯(lián)網(wǎng)開放3389端口的IP信息�����,導(dǎo)入文本中;
- 利用NLBrute工具��,配置IP���、賬號(hào)密碼信息后進(jìn)行批量枚舉爆破���,通過弱口令漏洞獲取服務(wù)器權(quán)限���;
- 根據(jù)返回結(jié)果���,成功登錄訪問IP���;
- 而后黑客使用NetExec工具于內(nèi)網(wǎng)進(jìn)行密碼噴灑��,橫向擴(kuò)散��,獲取更多機(jī)器權(quán)限;
- 黑客使用xfreerdp遠(yuǎn)程桌面登陸服務(wù)器��。
4. 工具介紹
| 工具名稱 | md5 | sha1 |
|---|
| NLBrute | 025c1c35c3198e6e3497d5dbf97ae81f | 6d390038003c298c7ab8f2cbe35a50b07e096554 |
| NetExec | 50f4206bd36dc9b45c0af1229475da6e | fde496a0574d3cda03914113663bc7e14c485959 |
| xfreerdp | 637b54210304fbb4210c851a58351fe0 | 1309c431e046608dd6aa41f1d609050951038b02 |
4.1 RDP爆破工具:NLBrute
NLBrute 是一款主要用于爆破(Brute Force)遠(yuǎn)程登錄服務(wù)賬號(hào)密碼的工具����。
4.2 密碼噴灑工具:NetExec
NetExec 作為一款可執(zhí)行遠(yuǎn)程命令或進(jìn)行批量管理的工具,通常需要提供遠(yuǎn)程目標(biāo)的“賬號(hào)”和“密碼”或其他憑據(jù)來實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的遠(yuǎn)程執(zhí)行或管理操作���。
4.3 RDP遠(yuǎn)程連接工具:xfreerdp
xfreerdp 是開源項(xiàng)目 FreeRDP 提供的一個(gè)命令行客戶端工具,用于連接和使用 Microsoft RDP(Remote Desktop Protocol)服務(wù)�����。它通常運(yùn)行在 Linux/Unix 系統(tǒng)(包括 macOS)上�,為用戶在非 Windows 平臺(tái)上提供了對(duì) Windows 遠(yuǎn)程桌面的訪問能力。與圖形化的 RDP 客戶端相比��,xfreerdp 采用命令行形式�,具有一定的靈活性和可腳本化特點(diǎn)。
5. 漏洞詳情
5.1 漏洞名稱
RDP弱口令漏洞
5.2 漏洞類型
弱口令
5.3 漏洞描述
遠(yuǎn)程桌面協(xié)議(RDP)默認(rèn)使用3389端口監(jiān)聽���,成為攻擊者的主要目標(biāo)之一���。通過腳本掃描互聯(lián)網(wǎng)上暴露的3389端口�,攻擊者利用RDP弱口令漏洞,通過暴力破解或社會(huì)工程學(xué)手段獲取登錄憑證。一旦成功入侵�,他們可能植入后門以便后續(xù)訪問��,或直接部署勒索軟件進(jìn)行文件加密和系統(tǒng)鎖定。這種攻擊方式利用了弱密碼的安全缺陷,使暴露的RDP服務(wù)成為勒索軟件攻擊的高風(fēng)險(xiǎn)入口。
6. 應(yīng)急響應(yīng)排查
如果懷疑機(jī)器是通過RDP爆破入侵,可以通過查詢系統(tǒng)日志快速進(jìn)行排查��。具體方法是利用Windows自帶的系統(tǒng)日志功能�����,重點(diǎn)檢索與登錄活動(dòng)相關(guān)的事件ID���,通過分析登錄成功和失敗的日志記錄來定位異常�。特別是�����,當(dāng)檢測到短時(shí)間內(nèi)大量連續(xù)的失敗登錄嘗試并伴隨成功登錄記錄時(shí)�����,需要警惕可能的暴力破解行為。此外���,還可以結(jié)合登錄時(shí)間、來源IP地址等信息,進(jìn)一步分析是否為非法入侵���。
- 通過日志可以看到由大量的登錄失敗日志,事件ID4625
- 如果大量的4625后緊接著4624的事件ID,則極為可能攻擊者爆破成功。
- 在4624的事件ID日志中,可以看到攻擊者使用的IP�����。
7. 防范措施
更改RDP默認(rèn)端口并不能阻止攻擊者�����,因?yàn)槲覀儼l(fā)現(xiàn)幾乎所有開放的端口都會(huì)被掃描尋找RDP協(xié)議。如果必須通過互聯(lián)網(wǎng)使用RDP�����,務(wù)必要禁用默認(rèn)賬戶��,并確保啟用了多因素認(rèn)證(MFA)��。即便如此,我們?nèi)匀唤ㄗh采用更安全的解決方案���,比如使用VPN,或通過支持MFA的前端工具(如VMware View或Citrix Workspace)進(jìn)行訪問���,以最大限度降低風(fēng)險(xiǎn)。
- 將RDP置于虛擬專用網(wǎng)絡(luò)(VPN)后面:通過VPN訪問RDP�����,增加一層安全防護(hù)。
- 啟用多因素認(rèn)證(MFA):為所有用戶賬戶啟用MFA,是防止憑證被盜引發(fā)風(fēng)險(xiǎn)的最佳方式����。
- 堡壘機(jī)集中控制服務(wù)器:堡壘機(jī)能夠幫助企業(yè)集中管理服務(wù)器的訪問權(quán)限和賬號(hào)信息����,從而更好地實(shí)現(xiàn)對(duì)服務(wù)器的統(tǒng)一管控與審計(jì)���。通過堡壘機(jī)��,管理員可以實(shí)時(shí)監(jiān)控服務(wù)器狀態(tài)、審查日志���、管理賬號(hào)授權(quán),并在出現(xiàn)異常時(shí)及時(shí)采取措施��。同時(shí)�����,堡壘機(jī)還能為企業(yè)提供統(tǒng)一的授權(quán)機(jī)制��,實(shí)現(xiàn)對(duì)用戶訪問服務(wù)器的精細(xì)化控制。
- 定期更新密碼并實(shí)施強(qiáng)密碼策略:強(qiáng)制用戶每隔一定時(shí)間(如90天)更換密碼��,避免長期使用同一密碼增加被破解的可能性����。要求密碼長度至少8-12位,包含大小寫字母�����、數(shù)字和特殊字符�����。
- 在Windows域環(huán)境中�,可以通過組策略(Group Policy)來強(qiáng)制用戶定期更換密碼�。打開 組策略管理控制臺(tái);
- 在“組策略管理編輯器”中通過計(jì)算機(jī)配置 → Windows 設(shè)置 → 安全設(shè)置 → 帳戶策略 → 密碼策略����,可設(shè)置密碼最長使用期限�����、密碼最短使用期限、最小密碼長度、啟用 密碼必須符合復(fù)雜性要求;
- 配置完畢后,在client上運(yùn)行gpupdate /force 用于刷新組策略��。
- 修改端口:定位注冊表 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp��,修改PortNumber的value�����;
- 通過域的組策略批量修改域內(nèi)主機(jī)的rdp端口;
- 選擇 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp的PortNumber;
- 設(shè)置需要更改的端口數(shù)值后點(diǎn)擊確定實(shí)現(xiàn)修改端口�;
- 設(shè)置斷開會(huì)話的時(shí)間限制:為斷開連接的會(huì)話設(shè)置時(shí)間限制�,并在達(dá)到限制時(shí)自動(dòng)結(jié)束會(huì)話�����,減少會(huì)話暴露風(fēng)險(xiǎn)�����。
在組策略的以下位置進(jìn)行配置修改
- 計(jì)算機(jī)配置\策略\管理模板\Windows 組件\遠(yuǎn)程桌面服務(wù)\遠(yuǎn)程桌面會(huì)話主機(jī)\會(huì)話時(shí)間限制 ;
- 用戶配置\策略\管理模板\Windows 組件\遠(yuǎn)程桌面服務(wù)\遠(yuǎn)程桌面會(huì)話主機(jī)\會(huì)話時(shí)間限制 �����;
- 啟用之后選擇結(jié)束已斷開連接的會(huì)話時(shí)間���,之后點(diǎn)擊確定;
- 使用白名單(Allow-list):配置白名單���,只允許指定的IP地址訪問RDP服務(wù)器,防止未經(jīng)授權(quán)的連接����。
- 計(jì)算機(jī)配置 -> 策略 -> Windows 設(shè)置 -> 安全設(shè)置 -> Windows 防火墻與高級(jí)安全 -> Windows 防火墻入站規(guī)則���,在入站規(guī)則中先將常規(guī)->操作中選擇只允許安全連接;
- 之后在遠(yuǎn)程用戶選項(xiàng)配置白名單;
- 部署互聯(lián)網(wǎng)級(jí)攻擊面監(jiān)控解決方案:如使用Cortex Xpanse等工具,監(jiān)控RDP或其他遠(yuǎn)程訪問服務(wù)的意外暴露,及時(shí)發(fā)現(xiàn)安全隱患�。
8. 相關(guān)文章
https://bullwall.com/how-has-rdp-become-a-ransomware-gateway/
https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/
https://thedfirreport.com/2020/07/13/ransomware-again-but-we-changed-the-rdp-port/
該文章在 2025/1/8 13:08:15 編輯過
400 186 1886
