越來越多的黑客使用RDP建立網(wǎng)絡(luò)隧道來繞過安全保護措施
據(jù)國外安全機構(gòu)報告稱,越來越多的黑客利用遠程桌面協(xié)議(RDP)使用網(wǎng)絡(luò)隧道和基于主機的端口轉(zhuǎn)發(fā)來繞過網(wǎng)絡(luò)保護進行攻擊。
眾所周知,RDP是Microsoft Windows組件, 遠程桌面協(xié)議(RDP, Remote Desktop Protocol)是一個多通道(multi-channel)的協(xié)議,讓用戶(客戶端或稱“本地電腦”)連上提供微軟終端機服務(wù)的電腦(服務(wù)器端或稱“遠程電腦”)。大部分的Windows都有客戶端都提供遠程桌面所需軟件。其他操作系統(tǒng)也有相應(yīng)的客戶端軟件,如Linux、FreeBSD、MacOS X。服務(wù)端電腦方面,通過則監(jiān)聽TCP3389端口的數(shù)據(jù),以建立遠程連接。然而,技術(shù)本身是無善惡的,黑客一直將該技術(shù)用于邪惡的目的,并且這種趨勢繼續(xù)保持上升,另外利用RDP進行攻擊,又不同于其他后門容易發(fā)現(xiàn)發(fā)現(xiàn)。
與非圖形后門相比,黑客更喜歡RDP的穩(wěn)定性和功能性優(yōu)勢,黑客使用本機Windows RDP實用程序,在受到破壞的環(huán)境中跨系統(tǒng)進行橫向攻擊。 使用RDP遠程訪問的功能進行攻擊,需要不同的攻擊向量用于初始攻擊(如網(wǎng)絡(luò)釣魚)。此外,為了攻擊受防火墻和NAT規(guī)則保護的非暴露在互聯(lián)網(wǎng)的系統(tǒng),黑客越來越多地使用網(wǎng)絡(luò)隧道和基于主機的端口轉(zhuǎn)發(fā)進行攻擊。允許攻擊者與被防火墻阻止的遠程服務(wù)器建立連接,并濫用該連接作為傳輸機制,通過防火墻“隧道”偵聽本地服務(wù),從而使遠程服務(wù)器可以訪問。
PuTTY Link或Plink是用于隧道RDP會話的一個實用程序,允許攻擊者與其他系統(tǒng)建立安全shell(SSH)網(wǎng)絡(luò)連接。由于許多IT環(huán)境要么不對協(xié)議進行檢查,要么不阻止從其網(wǎng)絡(luò)出站的SSH通信,攻擊者可以使用該工具創(chuàng)建加密隧道并與命令和控制(C&C)服務(wù)器建立RDP連接。
黑客利用RDP會話在環(huán)境中還可以橫向移動,進行橫向攻擊,觀察到攻擊者可以使用本機Windows網(wǎng)絡(luò)外殼(netsh)命令結(jié)合使用RDP端口轉(zhuǎn)發(fā)進行網(wǎng)絡(luò)發(fā)現(xiàn)。如,黑客可以配置跳轉(zhuǎn)框以偵聽任意端口,以便從先前控制的系統(tǒng)發(fā)送流量,流量將通過跳轉(zhuǎn)框直接轉(zhuǎn)發(fā)到分段網(wǎng)絡(luò)上的任何系統(tǒng),使用任何指定的端口,包括默認的RDP端口TCP 3389。 基于主機和基于網(wǎng)絡(luò)的預(yù)防和檢測機制應(yīng)該為組織提供減輕此類RDP攻擊所需的手段。
其中,在不需要使用遠程桌面服務(wù)時將其禁用,啟用基于主機的防火墻規(guī)則以拒絕入站RDP連接,以及防止在工作站上使用RDP與本地帳戶有助于提高安全性。可以通過查看注冊表項、事件日志和其他信息有助于檢測此類攻擊。 網(wǎng)絡(luò)層面,管理員應(yīng)強制使用白名單策略進行管理服務(wù)器啟動RDP連接,防止特權(quán)帳戶用于RDP,查看防火墻規(guī)則以識別端口轉(zhuǎn)發(fā)漏洞,檢查網(wǎng)絡(luò)流量的內(nèi)容,以及設(shè)置Snort規(guī)則用于識別其網(wǎng)絡(luò)流量中的RDP隧道。
雖然,RDP使IT環(huán)境能夠為用戶提供簡便自由和互操作性。但隨著越來越多的黑客使用RDP跨系統(tǒng)進行網(wǎng)絡(luò)橫向移動攻擊,組織的安全團隊正面臨著是如何破解合法使用和惡意RDP流量的挑戰(zhàn)。應(yīng)提高安全意識,采取基于主機和網(wǎng)絡(luò)的適當(dāng)預(yù)防和檢測方法來進行主動監(jiān)控。
我們知道利用RDP攻擊只是進入系統(tǒng)的途徑之一,而后續(xù)的攻擊或許會結(jié)合惡意加密病毒、惡意挖礦、竊取數(shù)據(jù)等等惡意手段,對系統(tǒng)與網(wǎng)絡(luò)進行攻擊。如昨天寫的“GandCrab勒索病毒軟件和Ursnif病毒通過MS Word宏傳播”則是對勒索病毒展開的,結(jié)合最近國內(nèi)國際發(fā)生的網(wǎng)絡(luò)安全事件,故在臨近年關(guān),每一個組織與單位甚至個人,都應(yīng)該提高安全意識,做好安全防護工作,開開心心過春節(jié)。
