周六傍晚，在网络犯罪分子利用暴露的RDP服务器后，美国一家物理安全公司成为攻击目标。到周日，该组织的所有内部服务都无法使用。这篇博客将解开攻击和开放RDP端口的危险。

随着向远程工作的转变，IT团队依靠远程访问工具来管理公司设备并保持节目运行。远程桌面协议(RDP)是一种Microsoft协议，它使管理员能够访问台式计算机。由于它使用户可以完全控制设备，因此它是威胁参与者的宝贵切入点。

在暗网上销售凭证的“RDP商店”已经存在多年。xDedic是最臭名昭著的犯罪论坛之一，曾经吹嘘80,000多台被黑服务器出售，最终在成立五年后的2019年被FBI和欧洲刑警组织关闭。销售RDP访问是一个蓬勃发展的行业，因为它可以立即进入组织，无需设计网络钓鱼电子邮件、开发恶意软件或手动搜索零日漏洞和开放端口。攻击者只需不到5美元，就可以购买对其目标组织的直接访问权限。

在COVID-19爆发后的几个月中，暴露的RDP端点数量增加了127%。随着公司适应远程办公条件，RDP的使用量激增，传统安全工具几乎不可能区分RDP的日常合法应用及其利用。这导致成功的服务器端攻击急剧增加。根据英国国家网络安全中心的说法，RDP现在是网络犯罪分子（尤其是勒索软件团伙）使用的最常见的攻击媒介。

初始入侵

在这个真实世界的攻击中，目标组织有大约7,500台设备处于活动状态，其中一台是面向Internet的服务器，其TCP端口3389（RDP的默认端口）打开。换句话说，该端口被配置为接受网络数据包。

检测到来自罕见外部端点的成功传入RDP连接，该端点使用了可疑的身份验证cookie。鉴于该设备受到大量外部RDP连接的影响，攻击者很可能是暴力破解的，尽管他们可能使用了漏洞利用或从暗网购买了凭据。

由于端口3389上到此服务的传入连接很常见，并且是正常业务的一部分，因此任何其他安全工具都不会标记该连接。

内部侦察

在最初的妥协之后，该设备被发现在其自己的子网内进行网络扫描活动以升级访问权限。扫描后，该设备通过DCE-RPC与多个设备建立了WindowsManagementInstrumentation(WMI)连接，这触发了多个警报。

然后，该设备在非标准端口上建立了一个新的RDP连接，使用管理身份验证cookie连接到网络上从未见过的端点。在此之后观察到Tor连接，表明潜在的C2通信。

横向运动

然后，攻击者尝试通过SMB服务控制管道和PsExec横向移动到违规设备子网内的五个设备，这些设备很可能在网络扫描期间被识别。

通过使用本地Windows管理工具（PsExec、WMI和svcctl）进行横向移动，攻击者设法“在陆地上生活”，从而避开了安全堆栈其余部分的检测。

询问专家

该组织自己的内部服务不可用，因此他们联系了24/7AsktheExpert服务。网络专家使用AI迅速确定了入侵的范围和性质，并开始了补救过程。结果，威胁在攻击者实现其目标之前就被消除了，这些目标可能包括加密挖掘、部署勒索软件或泄露敏感数据。

RDP漏洞：暴露服务器的危险

在上述事件发生之前，已经观察到来自大量罕见外部端点的RDP和SQL传入连接，这表明该服务器之前已被多次探测。当不必要的服务对互联网开放时，妥协是不可避免的——这只是时间问题。

RDP尤其如此。在这种情况下，攻击者通过对RDP端口的初始访问成功地进行了侦察并打开了外部通信。威胁行为者一直在寻找进入的方法，因此可能被视为合规问题的问题可以轻松、快速地演变为妥协。

失控的遥控器

袭击发生在几个小时之内——当时安全团队正在享受周六晚上的下班时间——并且它以惊人的速度发展，在不到7小时内从最初的入侵升级为横向移动。攻击者利用这些人为漏洞是很常见的，他们快速移动并且一直未被发现，直到IT团队在周一早上回到他们的办公桌前。

正是出于这个原因，一个不休眠并且可以全天候检测和自主响应威胁的安全解决方案至关重要。自学习人工智能可以跟上以机器速度升级的威胁，并随时阻止它们。