示意圖,Photo by Anthony Cantin on unsplash

微軟一項安全研究顯示,RDP協定密碼的暴力破解攻擊行動平均持續長達2-3天,顯示駭客願意花更久時間來嘗試,成功行動也不少見,呼籲企業IT管理員應留心可疑的登入意圖。

近來針對暴露於網際網路的Windows遠端桌面協定(remote desktop protocol,RDP)的攻擊行動遽增。攻擊者經常鎖定使用弱密碼或未用多因素驗證、VPN或其他安全防護的RDP伺服器。透過暴力破解,駭客就可以存取目標系統,進而安裝勒索軟體或挖礦程式。駭客經常是利用偷來的,或常見的administrator帳號密碼對單一或多個帳號嘗試登入,時間為期數秒到幾分鐘。去年微軟兩度針對RDP漏洞及開採攻擊,對企業發出警告。

為了了解RDP暴力破解攻擊,微軟7月底到8月初蒐集了4.5萬台跑Windows Defender ATP軟體的電腦資料,這些電腦都有RDP外部IP連線,並偵測到至少一次登入失敗(Event ID 4625)的情形,藉以分析可能的RDP非法簽入(sign-in)企圖。

根據分析,在偵測到暴力破解攻擊的機器裏,平均攻擊時間達2-3天,90%在1周以下,超過2周的不到5%。

外部連線多次簽入失敗,往往表示正遭受暴力破解攻擊,在微軟的樣本中,簽入失敗的次數90%超過1天10次,中位數則高達60次。研究人員還觀察到,駭客願意花好幾天時間拿較少量帳號/密碼組合進行嘗試,而非一次拿數百或數千個帳密組合來碰運氣,比過去速度更為放緩。

數據也顯示,在數百台偵測到RDP暴力破解的機器中,成功駭入的機率是0.08%。此外,為期數個月、遍及大中小型企業的電腦中,平均有1台機器有很高機率在3-4天的暴力破解裏遭到成功入侵。資料顯示,俄羅斯、英國及荷蘭,是RDP遭大量外部IP連線且機器遭暴力破解攻擊最多的前三名國家。

微軟指出,綜合上述資料顯示,成功的RDP暴力破解其實並不罕見,因此企業IT必須要提高警覺是否有可疑的連線或不尋常的簽入失敗情形。微軟建議偵測的指標包括:簽入失敗及RDP連線發生的時間點、一周之內哪一天;Event ID 4625登入型態及失敗原因;簽入失敗的帳戶次數統計;簽入失敗的次數;RDP外部IP連線次數等。


Advertisement

更多 iThome相關內容