10 月 8 日,一个使用超过 100,000 个 IP 地址的多国僵尸网络开始针对美国的远程桌面协议服务。威胁监控平台 GreyNoise 的研究人员正在跟踪这一大规模活动,他们认为该活动是由广泛的僵尸网络发起的。远程桌面协议 (RDP) 是一种网络协议,支持远程连接和控制 Windows 系统。它通常由管理员、帮助台工作人员和远程工作人员使用。攻击者经常通过扫描开放的 RDP 端口、尝试暴力登录、利用漏洞或执行定时攻击来获取未经授权的访问来瞄准该协议。在此次活动中,GreyNoise 研究人员发现僵尸网络采用了两种特定的 RDP 相关攻击技术来枚举用户帐户。这些方法包括:
- RD Web 访问定时攻击: 这些探针测量 RD Web 访问端点上的匿名身份验证流期间的响应时间差异,以推断有效的用户名。
- RDP Web 客户端登录枚举: 该技术与 RDP Web 客户端登录流程交互,观察服务器行为和响应的差异以识别用户帐户。
灰噪声优先 检测到 在观察到来自巴西的异常流量激增后,该活动开始了。随后,阿根廷、伊朗、中国、墨西哥、俄罗斯、南非和厄瓜多尔也出现了类似活动。据该公司称,参与僵尸网络的受感染设备的国家/地区的完整列表现已超过 100 个。
图片:灰噪声技术分析显示,几乎所有攻击 IP 地址都共享一个共同的 TCP 指纹。尽管研究人员注意到最大网段大小存在差异,但他们认为这些差异是由于构成僵尸网络基础设施的各种受感染机器集群造成的。为了防御此活动,建议系统管理员阻止发起攻击的 IP 地址并检查系统日志以查找可疑的 RDP 探测。作为一般安全最佳实践,RDP 服务不应直接暴露于公共互联网。添加 VPN 和多重身份验证 (MFA) 可提供额外的保护层。
