微软一项安全研究显示,RDP协议密码的暴力破解攻击行动平均持续长达2-3天,显示黑客愿意花更久时间来尝试,成功行动也不少见,呼吁企业IT管理员应留心可疑的登录意图。
近来针对暴露于互联网的Windows远程桌面协议(remote desktop protocol,RDP)的攻击行动遽增。攻击者经常锁定使用弱密码或未用多因素验证、VPN或其他安全防护的RDP服务器。通过暴力破解,黑客就可以访问目标系统,进而安装勒索软件或挖矿程序。黑客经常是利用偷来的,或常见的administrator账号密码对单一或多个账号尝试登录,时间为期数秒到几分钟。去年微软两度针对RDP漏洞及开采攻击,对企业发出警告。
为了了解RDP暴力破解攻击,微软7月底到8月初搜集了4.5万台跑Windows Defender ATP软件的计算机数据,这些计算机都有RDP外部IP连接,并侦测到至少一次登录失败(Event ID 4625)的情形,借以分析可能的RDP非法签入(sign-in)企图。
根据分析,在侦测到暴力破解攻击的机器里,平均攻击时间达2-3天,90%在1周以下,超过2周的不到5%。
外部连接多次签入失败,往往表示正遭受暴力破解攻击,在微软的样本中,签入失败的次数90%超过1天10次,中位数则高达60次。研究人员还观察到,黑客愿意花好几天时间拿较少量账号/密码组合进行尝试,而非一次拿数百或数千个帐密组合来碰运气,比过去速度更为放缓。
数据也显示,在数百台侦测到RDP暴力破解的机器中,成功黑入的几率是0.08%。此外,为期数个月、遍及大中小型企业的计算机中,平均有1台机器有很高几率在3-4天的暴力破解里遭到成功入侵。数据显示,俄罗斯、英国及荷兰,是RDP遭大量外部IP连接且机器遭暴力破解攻击最多的前三名国家。
微软指出,综合上述数据显示,成功的RDP暴力破解其实并不罕见,因此企业IT必需要提高警觉是否有可疑的连接或不寻常的签入失败情形。微软建议侦测的指标包括:签入失败及RDP连接发生的时间点、一周之内哪一天;Event ID 4625登录形态及失败原因;签入失败的账户次数统计;签入失败的次数;RDP外部IP连接次数等。