导语:威胁监控平台GreyNoise的研究人员根据IP地址来源判断,此次攻击由一个跨多国的僵尸网络发起。
一个大规模僵尸网络正通过超10万个IP地址,针对美国境内的远程桌面协议(RDP)服务发起攻击。该攻击活动始于10月8日,威胁监控平台GreyNoise的研究人员根据IP地址来源判断,此次攻击由一个跨多国的僵尸网络发起。
远程桌面协议(RDP)是一种支持远程连接并控制Windows系统的网络协议,通常供管理员、技术支持人员及远程办公人员使用。
攻击者常通过多种方式利用RDP实施攻击,包括扫描开放的RDP端口、暴力破解登录密码、利用协议漏洞,或发起时序攻击等。
攻击核心手段:两种RDP相关攻击方式,精准枚举用户账户
研究人员发现,此次僵尸网络主要依赖两种与RDP相关的攻击手法:
1. RD Web访问时序攻击:探测RD Web访问端点,在匿名认证流程中通过检测响应时间差异,推断出系统中的有效用户名;
2. RDP Web客户端登录枚举:与RDP Web客户端的登录流程交互,通过观察服务器行为及响应的差异,枚举系统中的用户账户。
GreyNoise最初通过巴西地区异常的流量激增发现该攻击活动,随后在更多国家和地区监测到类似攻击行为,涉及阿根廷、伊朗、墨西哥、俄罗斯、南非、厄瓜多尔等。该公司表示,僵尸网络中被劫持设备所在的国家/地区总数已超100个。
来自巴西的异常活动激增
几乎所有发起攻击的IP地址都拥有相同的TCP指纹;尽管部分IP的“最大分段大小”存在差异,但研究人员认为,这是由僵尸网络的不同集群导致的。
防御建议:阻断攻击IP+强化RDP安全配置
为抵御此类攻击,安全研究人员建议系统管理员应尽快采取以下措施:
·阻断发起攻击的IP地址,同时检查日志中是否存在可疑的RDP探测行为;
·核心防御原则:不要将远程桌面连接暴露在公网中,建议通过搭建虚拟专用网络、启用多因素认证等方式,为RDP访问增加额外安全层。
文章翻译自:https://www.bleepingcomputer.com/news/security/massive-multi-country-botnet-targets-rdp-services-in-the-us/如若转载,请注明原文地址
.jpg)
