Sophos 研究發現揭示網絡罪犯 如何利用遠端桌面通訊協定攻擊企業

日前，Sophos 發表最新研究報告《遠端桌面通訊協定漏洞曝光：威脅已迫在眉睫》（RDP Exposed： The Threat Thats Already at your Door） ，揭示網絡罪犯如何嘗試利用遠端桌面通訊協定 （RDP） 不斷攻擊各大企業。

RDP漏洞依舊是系統管理員的惡夢。Sophos自2011年起便一直發現網絡罪犯利用RDP漏洞攻擊的情況。去年，其中兩種最具規模的針對性惡意軟件攻擊——Matrix 及 SamSam 背后的網絡犯罪集團，更幾乎完全放棄其它入侵網絡的方法，轉而利用RDP漏洞。

Sophos安全專家暨報告首席研究員Matt Boddy表示：“最近一款名為 BlueKeep 的RDP遠端程式碼執行漏洞備受傳媒關注。這個嚴重的漏洞足可于數小時內引發全球性的惡意軟件大爆發。然而BlueKeep只是冰山一角，所以預防RDP漏洞威脅絕不止于修補系統以防范BlueKeep。IT管理員必須加倍留意RDP的整體運作情況。”Sophos這項最新研究指出，攻擊者幾乎能即時發現，并連接上互聯網，啟用RDP功能的裝置。Sophos為印證上述發現，分別于全球10個地區設置了低互動蜜罐以評估及量化RDP漏洞帶來的風險。

研究報告主要發現：

全部10個蜜罐均于一日內收到嘗試登入的記錄;

RDP漏洞使相關電腦在短短84秒內曝光;

所有RDP蜜罐于 30 日內總記錄429萬 次登入失敗，平均約每6秒一次;

業界一般認為網絡罪犯通過Shodan等網站尋找開放的RDP漏洞源頭，但Sophos研究強調他們其實會利用自己的工具和技術，不一定要依賴第三方網站去尋找存取途徑。

黑客行為解析：

Sophos根據研究結果識別出黑客攻擊模式的三大特征——The ram、The swarm 和The hedgehog：

The ram 是專為破解管理員密碼而設置的策略，比如有一名攻擊者在10日內嘗試登入設于愛爾蘭的蜜罐10.9萬次，最后只用了三個用戶名稱就能成功訪問。……