黑客是如何通过RDP远程桌面服务进行攻击的

2014-01-12 +5 381857人围观 ,发现 11 个不明物体 系统安全

企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。

Makost.net是一个主要贩卖服务器的论坛,主要是安装了windows系统并且可以使用微软的远程登录服务连接的服务器。Windows有自己的RDP内置接口,可以连接到任何一台连接internet并且有一个合法的外网IP,并且输入正确的用户名密码。连接后,就会看到远程计算机的桌面,就像你坐在他的计算机旁边一样,当然可以访问其所有的程序和文件。

       

Makost论坛通过CPU数量,操作系统版本和电脑的上传和下载速度来区别价格,价格范围从3刀-10刀+不等。

  Makost目前正在销售的主机数量超过6000。正如此图显示来看,黑客会根据服务器的不同而定价:
·市,州,国家;
·用户的权限;
·操作系统版本;
·计算机处理器速度;
·系统内存;
·网络下载和上传速度;
·NAT或者其他

KrebsOnSecurity看到里面一个非常活跃的用户的账户的服务,一个支付超过2000美元的人在过去的6个月购买约425黑RDPs。我把互联网地址在这个客户的购买历史,跑上WHOIS数据库查找它们,以了解更多关于受害者的组织。正如所料,大约四分之三的这些地址告诉我对受害者;地址被分配到住宅或商业互联网服务提供商。 

我通过查找一个客户的购买记录的Internet地址,企图了解更多有关受害者的信息, 正如预期的那样,大约四分之三的地址是未知的,这些地址被分配到住宅或商业互联网服务提供商那里。这个名单上的最大群体是在制造业(21受害者)和零售服务(20)行业。

一份报告说:“使用第三方软件比如终端服(termserv)或远程桌面协议(RDP),pcAnywhere,虚拟网络客户端(VNC)远程访问应用程序时,如果这些程序是启用的,攻击者就可以访问它们,攻击者就像是合法的系统管理员。”

攻击者通过简单的扫描IP地址段,查询开放了某个端口的有哪些主机响应,一旦有开放的远程管理端口,就可以使用弱口令等弱点探测方式来进一步攻击。

读到这里,你应该很清楚黑客是如何使用rdp攻击的。像这样的兜售服务器的网站太多了,这些组织分工明确,行动很隐蔽。幸运的是,你的主机在收到外部端口扫描的时候会向你警报。

[原文链接,译/FreeBuf实习小编Rem1x

这些评论亮了

  • mmtt (4级) 回复
    全文口水连篇,重点就是扫描端口,弱口令攻击。弱爆了。烦请小编审审有点料的文章再发好么?
    )8( 亮了
发表评论

已有 11 条评论

取消
Loading...
css.php