设为首页加入收藏
群晖首页图片
网站标志
新闻详情
 
当前位置
新闻搜索
 
 
ESET nod32 分析 RDP协议又被雷达锁定:近距离透视不断进化的远程访问威胁
作者:管理员    发布于:2022-09-10 17:37:15    文字:【】【】【


RDP攻击者可能比您想象得更近 – 下文将为您介绍,滥用RDP协议类攻击的演变历程。随着新冠肺炎疫情的全球蔓延,我们当中有很多人,包括我自己在内,都不得不转入全时居家办公。ESET公司的许多员工已经习惯了部分时间远程工作,因为这实际上只意味着扩大现有资源供给,以满足新涌入的远程办公人员的工作需求,比如购买更多的笔记本电脑和VPN服务等。 

但对于世界各地的许多企业而言,情况却并非如此。这些企业要么必须从零入手,为远程办公人员设置访问权限,要么需要大幅扩充RDP服务器容量,以吸纳来自大量用户的并发远程访问需求。  

大约在发生这一转变的同时,ESET又一次发布了《全球威胁报告》,其中最值得关注的一件事就是RDP攻击数量持续增长。根据我司2022 年前四个月威胁报告中的统计数据,在此期间的RDP攻击数量超过 1000 亿次。显然有必要重新审视,过去几年中开发的RDP 攻击手段及其可能造成的冲击,并借此机会反馈ESET利用威胁情报和遥测技术监测到的实际情况。

RDP攻击的演变历程是怎样的?


我们探讨了近几年RDP攻击的演变历程。我想分享的一个观点是,并非每一款漏洞的受攻击数量都在增多。有一款漏洞,ESET 发现其受攻击次数显着减少:

•利用RDP漏洞实施攻击的BlueKeep蠕虫(CVE-2019-0708)检测量,从 2020年峰值下降了44%。我们将这一显著的下降归咎于此二者的综合成效:用户对存在漏洞的Windows版本打了补丁,加上网络层面防渗透保护力度的加强。

图片

图1. “BlueKeep”蠕虫(CVE-2019-0708)全球检测量(信息源:ESET遥测数据)

经常听到人们对计算机安全公司的抱怨之一就是,总是长篇大论地讨论信息安全如何变得更糟、没有改善,鲜有好消息反馈,即便有也是昙花一现。其中有些批评有一定的道理,但信息安全始终是一个持续渐进的过程:新的威胁总会不断出现。在这点意义上,针对BlueKeep等漏洞的攻击次数随时间推移而逐渐减少,是个好消息。但同时RDP仍在被广泛使用,这就意味着攻击者将不断探寻可以利用的漏洞并用来发起攻击。 

为使某一类攻击手段彻底消失,就必须阻断相关漏洞的所有潜在利用途径。我还记得,上一次看到堪称影响深远的实例,就是2009年微软发布Windows 7时,就在系统中禁用了对AutoRun(AUTORUN.INF)的支持。微软随后将这一调整反向移植到先前发布的所有Windows系统,尽管第一次做得并不完美。AutoRun是自1995 年Windows 95发布以来系统自带的一项功能,后遭到严重滥用并大肆传播Conficker等蠕虫。基于AUTORUN.INF的蠕虫感染率,曾一度占到ESET防毒软件检测量的近四分之一。今天,它所占的检测量还不到千分之一。

与AutoPlay不同,如今RDP仍然是 Windows系统的一项常用功能,虽然针对其漏洞的一次性攻击数量有所减少,但这并不意味着整体攻击总量在下降。事实上,RDP漏洞的利用次数已大幅增加,这也可以用来解释BlueKeep 检测量减少的另一种可能性:其他 RDP 漏洞攻击途径可能更有效,使攻击者已经改弦易辙。

从2020年初到2021年底的两年数据来看,似乎与这一分析相吻合。在此期间,据ESET 遥测数据显示,恶意RDP尝试连接次数大幅增加。攀升幅度有多大?仅2020年第一季度的尝试连接次数就有19.7 亿次之多。到2021年第四季度,这一数字跃升至1663.7亿次,增幅超过8,400%!

图 2. 全球范围内检测到的恶意 RDP 尝试连接次数(取近似值)(信息源:ESET 遥测数据)

显然,攻击者发现入侵各类组织机构计算机系统的价值,无论是从事间谍活动、植入勒索病毒还是一些其他犯罪行为,都可以带来丰厚收益。但是从另一个角度来看,此类攻击是可以预防的。

SMB攻击的新数据


除RDP攻击数据集之外,遥测系统还为我们意外提供了有关服务器消息块(SMB)的尝试攻击数据。SMB可以看作RDP的配套协议,因为它允许在RDP会话期间远程访问文件、打印机和其他网络资源。2017 年公布的永恒之蓝蠕虫(即EternalBlue,CVE-2017-0144),就是利用SMB协议漏洞作祟的。据ESET遥测系统统计,利用此漏洞的攻击数量在2018年、2019年和 2020年间持续增长。

图片

图 3. 全球范围内的“永恒之蓝”(CVE -2017-0144)检测数量(信息源:ESET 遥测数据)

“永恒之蓝”利用的漏洞,仅存在于SMB第一版中。该协议版本可以追溯到二十世纪九十年代。但由于SMB第一版已在操作系统和联网设备中广泛运用了数十年,直到2017年微软才开始发布默认禁用SMB第一版的Windows系统版本。

从2020年底到2021年,ESET发现利用“永恒之蓝”漏洞入侵系统的次数显着减少。与 BlueKeep 一样,ESET 将检测数量的下降归咎于用户习惯给系统打补丁、网络安全防护水平的提高,以及SMB第一版用量的减少。

最后的想法


需要注意的是,本文中提供的这些信息,都是从ESET遥测系统中采集的。无论任何时候,用户在使用恶意程序遥测数据时,都必须结合以下附加条件才能正确加以理解:

1.用户可以选择,是否与ESET共享威胁遥测数据;如果客户没有连接到ESET的LiveGrid®系统或不与ESET共享匿名统计数据,那么我们将不会收到ESET 装机软件的任何检测信息。

2.针对RDP和SMB恶意活动的检测,是通过 ESET 多层防御技术实现的,涵盖防僵尸网络、防暴力破解、防网络攻击等组件。并非ESET全系列产品都具备这些保护层,比如ESET NOD32 Antivirus旨在为家庭用户提供基本恶意软件防护,就不具备上述保护层。ESET Internet Security和ESET Smart Security Premium,以及 ESET专门面向企业用户推出的终端系列防护软件中都内置了前述保护层。

3.尽管论文拟定过程中并没有使用ESET 威胁报告,但它却提供了地区或国家级地理统计数据。GeoIP地理位置检索是科学与创意的结合,因为VPN的使用以及IPv4块所有权的快速变化等因素,都可能对定位准确性产生影响。

4.众所周知,ESET是资安领域的众多捍卫者之一。遥测系统告诉我们,安装ESET软件后的防护数据,但ESET却无法了解其他资安产品用户的情况。

由于诸多这样的因素,绝对攻击数量应高于我们借助ESET遥测系统了解到的数量。也就是说,我们相信遥测系统可以准确地反映整体情况;无论是各类攻击检测数量的总体增减比例,还是ESET研判的攻击趋势,很可能就整个安全产业而言都具有代表性。



ESET NOD32 Antivirus防病毒杀毒软件1用户3年升级 电子版

ESET Internet Security NOD32网络安全套装防病毒杀毒软件1用户3年升级 电子版

NOD32 ESET File Security 文件服务器安全防护软件 端点防毒软件 下载版 序列号 3年1用户版


成都科汇科技有限公司 ) 
地址:成都市人民南路四段1号时代数码大厦18F
电话:400-028-1235
手机:180 8195 0517(微信同号)
脚注备案信息
群晖技术群