前言

　　遠(yuǎn)程桌面協(xié)議（RDP）是最流行的初始勒索軟件攻擊媒介，并且多年來(lái)一直如此。針對(duì)2020年Unit 42事件響應(yīng)和數(shù)據(jù)泄露報(bào)告，Unit 42研究了1,000多起事件的數(shù)據(jù)，發(fā)現(xiàn)在50%的勒索軟件部署案例中，RDP是最初的攻擊媒介。在2021年Cortex Xpanse攻擊面威脅報(bào)告中，Cortex Xpanse研究人員發(fā)現(xiàn)RDP占總暴露的30%，是第二位最常見暴露的兩倍多。

　　RDP是Microsoft Windows系統(tǒng)上的一種協(xié)議，旨在允許用戶遠(yuǎn)程連接和控制遠(yuǎn)程系統(tǒng)。最常見的合法用途是允許IT支持遠(yuǎn)程控制用戶的系統(tǒng)以解決問(wèn)題。最近，RDP在云計(jì)算中變得流行，用于訪問(wèn)云環(huán)境中的虛擬機(jī)（VM）或遠(yuǎn)程管理云資產(chǎn)。

　　如果將RDP公開在一個(gè)被遺忘的系統(tǒng)、云實(shí)例、先前受網(wǎng)絡(luò)分段保護(hù)或通過(guò)直接連接到互聯(lián)網(wǎng)的設(shè)備上，就很容易在無(wú)意中暴露RDP。更糟糕的是，RDP已變得更廣泛、更暴露并且具有更普遍的風(fēng)險(xiǎn)，可能導(dǎo)致攻擊（特別是勒索軟件部署）、數(shù)據(jù)丟失、代價(jià)高昂的停機(jī)時(shí)間和補(bǔ)救工作，以及對(duì)組織的品牌損害。

　　更多的暴露意味著更大的風(fēng)險(xiǎn)

　　COVID-19大流行首先導(dǎo)致在家工作人數(shù)的激增，這意味著筆記本電腦從帶有防火墻的辦公網(wǎng)絡(luò)的安全空間轉(zhuǎn)移到從未考慮過(guò)安全性的家庭網(wǎng)絡(luò)。

　　IT還沒(méi)有為這種轉(zhuǎn)變做好準(zhǔn)備，因此必須購(gòu)買新的筆記本電腦并很快將其發(fā)送給遠(yuǎn)程工作人員。這意味著風(fēng)險(xiǎn)和更多的RDP暴露。向遠(yuǎn)程工作的轉(zhuǎn)變也加劇了與臨時(shí)動(dòng)態(tài)DNS相關(guān)的風(fēng)險(xiǎn)。

　　具有分配IP地址的辦公網(wǎng)絡(luò)上的計(jì)算機(jī)易于清點(diǎn)和跟蹤。在個(gè)人家庭中，隨著互聯(lián)網(wǎng)服務(wù)提供商（ISP）動(dòng)態(tài)分配地址，計(jì)算機(jī)的IP地址每天都會(huì)發(fā)生變化。而且，這些設(shè)備可以從家里移動(dòng)到咖啡店或朋友家，然后再返回，每次都會(huì)獲得一個(gè)新的IP地址。盡管這長(zhǎng)期以來(lái)一直是一個(gè)風(fēng)險(xiǎn)，但現(xiàn)在遠(yuǎn)程工作者比以往任何時(shí)候都多，因此風(fēng)險(xiǎn)也就越大。

　　2021年1月的Unit 42云威脅報(bào)告發(fā)現(xiàn)，從Q1 2020（預(yù)COVID-19）至Q2 2020（后COVID-19）所有云供應(yīng)商RDP暴露的風(fēng)險(xiǎn)增加了59％。啟動(dòng)新的云實(shí)例比以往任何時(shí)候都容易，同時(shí)出錯(cuò)的可能性也會(huì)增加。

　　所以，RDP無(wú)處不在。RDP是威脅參與者的主要目標(biāo)，并且，RDP通常是勒索軟件攻擊的初始攻擊媒介。不幸的是，根據(jù)Cortex Xpanse的報(bào)告，在對(duì)2021年前三個(gè)月與50家全球企業(yè)相關(guān)的5000萬(wàn)個(gè)IP地址的掃描中發(fā)現(xiàn)，RDP占到了整體安全問(wèn)題的32%。

　　為什么RDP如此危險(xiǎn)？

　　RDP是威脅參與者最喜歡的目標(biāo)，因?yàn)橐坏┕粽哌M(jìn)入，他們就可以完全訪問(wèn)系統(tǒng)（甚至可以達(dá)到被盜用戶帳戶的級(jí)別）。如果管理員帳戶受到攻擊，那將是一場(chǎng)災(zāi)難。即使更受限制的用戶帳戶遭到入侵，攻擊者也只需要在該系統(tǒng)上找到另一個(gè)漏洞來(lái)提升權(quán)限并獲得更多訪問(wèn)權(quán)限。

　　對(duì)于惡意行為者來(lái)說(shuō)，要找到暴露的RDP需要一個(gè)簡(jiǎn)單的nmap腳本，該腳本會(huì)掃描Internet上的開放端口3389（默認(rèn)RDP端口）。今天，攻擊者正在不斷掃描3389端口，如圖X所示?！　?/p>

根據(jù)Cortex Xpanse的研究，攻擊者可以在45分鐘內(nèi)掃描整個(gè)互聯(lián)網(wǎng)。所以一旦RDP暴露了，攻擊者就會(huì)發(fā)現(xiàn)并且通過(guò)多種方式進(jìn)入：

　　· 使用竊取的憑據(jù)登錄。

　　· 強(qiáng)制登錄（如果實(shí)現(xiàn)允許無(wú)限制的登錄嘗試）。

　　· 如果RDP版本過(guò)時(shí)或使用有缺陷的加密，則執(zhí)行中間人攻擊。

　　· 利用舊版RDP中的已知漏洞，例如BlueKeep。

　　避免勒索軟件彩票

　　惡意行為者并不總是針對(duì)特定目標(biāo)，通常情況下，他們只是在尋找那些通過(guò)攻擊能帶來(lái)回報(bào)的漏洞。勒索軟件就像是一種邪惡的彩票系統(tǒng)，您只需打開門就可以進(jìn)行游戲，例如RDP。

　　任何組織的第一步都是通過(guò)比對(duì)手更快地掃描漏洞來(lái)規(guī)避RDP風(fēng)險(xiǎn)，并確保對(duì)所有連接互聯(lián)網(wǎng)的設(shè)備具有完全的可見性和完整的記錄系統(tǒng)。如果這些漏洞存在于外部IP空間中，則漏洞掃描程序無(wú)法找到它們，因此您需要從外向內(nèi)進(jìn)行掃描。很多較為先進(jìn)的公司使用平均庫(kù)存時(shí)間（MTTI）來(lái)衡量他們掃描完整庫(kù)存和評(píng)估潛在風(fēng)險(xiǎn)的速度。

　　確保您沒(méi)有不必要的RDP暴露的第一種方法是在所有不需要的系統(tǒng)上簡(jiǎn)單地禁用RDP。對(duì)于需要RDP的系統(tǒng)，請(qǐng)遵循以下安全措施：

　　· 將RDP置于虛擬專用網(wǎng)絡(luò)（VPN）之后。

　　· 啟用多重身份驗(yàn)證（MFA）。降低與被盜憑據(jù)相關(guān)的風(fēng)險(xiǎn)的最佳方法是確保在所有用戶帳戶上啟用MFA。

　　· 限制登錄嘗試。同樣，為了降低暴力攻擊的風(fēng)險(xiǎn)，限制失敗的登錄嘗試，禁止無(wú)限制的嘗試。

　　· 為斷開連接的會(huì)話設(shè)置時(shí)間限制并自動(dòng)結(jié)束達(dá)到該限制的會(huì)話。

　　· 考慮允許列表，以便只有經(jīng)過(guò)批準(zhǔn)的IP地址才能連接到RDP服務(wù)器。

　　· 部署互聯(lián)網(wǎng)規(guī)模的攻擊面監(jiān)控解決方案，例如Cortex Xpanse，以監(jiān)控RDP或其他遠(yuǎn)程訪問(wèn)服務(wù)的意外暴露。

　　優(yōu)先考慮RDP

　　到現(xiàn)在為止，應(yīng)該清楚為什么RDP=勒索軟件部署協(xié)議。RDP配置應(yīng)該是所有IT衛(wèi)生計(jì)劃中的一個(gè)高優(yōu)先級(jí)項(xiàng)目。它是一種具有危險(xiǎn)默認(rèn)設(shè)置的協(xié)議，用戶很容易以危險(xiǎn)的方式啟用或使用。

　　如果配置不當(dāng)，并且您的組織很不幸的成為勒索軟件運(yùn)營(yíng)商的目標(biāo)時(shí)，RDP將被用作攻擊媒介。這不是理論上的風(fēng)險(xiǎn)，這是一個(gè)簡(jiǎn)單且確定的事實(shí)。

　　無(wú)論您是否打算公開RDP，這些暴露都發(fā)生在Internet范圍內(nèi)，而不僅僅是在您已知的IP空間上。這意味著防御者必須在互聯(lián)網(wǎng)范圍內(nèi)監(jiān)控任何意外或配置錯(cuò)誤的實(shí)現(xiàn)，因?yàn)榭梢源_定的是此時(shí)攻擊者也在監(jiān)控。