近期，微软发布了一份关于RDP（远程桌面协议）暴力破解的深度分析，主要针对的是过去几个月所研究的45000台机器。

这些攻击数据主要来自Microsoft Defender ATP的客户，涉及45000台拥有公网IP且打开了RDP端口，至少存在一个网络登录失败记录的机器。

研究人员发现，平均每天有几百台机器疑似被RDP暴力攻击。

此外，暴力破解平均持续2-3天，约90%的案例中攻击会持续1周或更少的时间，不到5%的案例会持续2周或更久。

约0.08%的RDP暴力破解最后能够成功。

研究人员收集了失败和成功的RDP登录事件的详细信息，Windows事件编码分别为ID 4265和4264。研究人员还收集了正常用户/攻击者可能使用的用户名。

为了不被发现，不少攻击者并不是持续高频率攻击，而是每天每小时只尝试几个组合，整体持续好几天。

报告中表示：“在我们分析的被RDP暴力攻击的机器中，约有0.08%的机器被攻破。”

“此外，经过几个月对所有企业的分析，平均每3-4天就有一台机器很大概率被RDP暴力破解攻陷。”

据微软称，荷兰、俄罗斯和英国的在这些暴力破解中显得很“显眼”。

为了准确检测出服务器的RDP暴力破解流量，微软专家使用了多个指标：

• 一周内和一天内登录RDP连接失败的次数

• 登录失败后成功登录的时间

• 事件ID 4625登录类型（针对网络和远程交互进行过滤）

• 事件ID 4625失败原因（根据字段%%2308，%%2312，%%2313进行过滤）

• 未能成功登录的不同用户名的累计数

• 登录失败的累计数

• 登录RDP的外部IP的累计数

• 同一IP是否对多台机器进行RDP登录（统计登录数目）

微软最后总结：“我们应该认真监控那些登录失败的活动，对整体网络的安全态势有一个较为清晰的认识，并以此为依据提供一个可持续的解决方案。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3820.html
来源：https://securityaffairs.co/wordpress/96046/hacking/microsoft-rdp-brute-force-study.html