当前位置:安全行业动态 → 正文

各单位注意!8.5万台服务器RDP权限正在地下黑市xDedic售卖

责任编辑:editor007 |来源:企业网D1Net  2017-04-26 21:12:17 本文摘自:E安全

4月26日讯 被称为专属于黑客的e-Bay平台,暗网最大、最具破坏力的黑市xDedic上,经常有各路网络犯罪分子在这上面售卖RDP服务器的访问权限,政府和企业近期提高警惕了。

6个月之前,商业风险情报公司Flashpoint发现,xDedic黑市在售卖包含8.5万余个组织机构信息的数据集。

各单位注意!8.5万台服务器RDP权限正在地下黑市xDedic售卖-E安全

网络犯罪分子通过xDedic购买被攻击的远程桌面协议(Remote Desktop Protocol,RDP)服务器的访问权,这些服务器为入侵在线系统提供了便捷方式,尤其具有远程IT人员的公司。

E安全小编注:RDP是Microsoft的专用协议,允许用户连接至网络上的其它设备,帮助管理员远程控制服务器和PC。

Flashpoint研究总监维塔利-科瑞米兹表示,该公司已经持续观察xDedic两年以上。自2014年xDedic一直在运作,入侵企业的RDP服务器,并在网上转售登录凭证的网络犯罪分子中间建立了声誉。

设置弱口令的服务器最易遭到攻击

科瑞米兹解释称,黑客首先会扫描网络寻找连接到Microsoft远程桌面协议的特定接口,从而获得RDP访问权限。识别具有开放端口的服务器后,黑客强力测试用户名和密码,直到用户名和密码匹配。

一旦取得访问权限,黑客便会在黑市出售服务器,并升级管理员权限。任何购买登录凭证的买家都可以进入企业网络,从而窃取数据,升级权限,发起外部攻击,部署勒索软件,植入恶意软件,操控网络设置,并接管账号。

科瑞米兹指出,这种入侵策略对于设置简短、低复杂度的弱口令的服务器最有效。那么这对强密码就无效么?当然不是!大型僵尸网络仍然可以帮助攻击者获取RDP访问权限。

为什么医疗和教育行业最易遭到攻击?

科瑞米兹解释了威胁攻击者“thedarkoverlord”(因入侵保健机构而臭名昭著)如何使用这类数据集展开攻击。医疗保健行业是遭遇攻击较为频繁的行业之一,其原因在于医疗行业通常开放RDP的访问权,而这可以为网络犯罪分子提供有价值的数据。

该公司调查了医疗保健行业遭遇的数据泄露事件,他们注意到大量医院因暴露的RDP服务器遭遇入侵。

包含超过8.5万个服务器信息的数据集体现了受黑客欢迎的目标行业。据分析,最易被利用的行业为:教育、医疗保健、法律、航空和政府。遭遇黑客攻击最频繁的国家为美国、德国和乌克兰。

各单位注意!8.5万台服务器RDP权限正在地下黑市xDedic售卖-E安全

科瑞米兹指出,相比较而言,教育行业最不安全,最易遭受攻击。黑客通过暴力攻击极易入侵大学的网络。由于大学和医疗保健机构都具有信息共享机制,借此他们可以共享攻击相关信息,并改进信息安全程序。

科瑞米兹认为,xDedic黑市带来的威胁将继续增加,尤其“影子经纪人”(Shadow Brokers)最近曝光一系列NSA黑客工具之后。如果网络犯罪继续开发工具,并利用曝光文件中的漏洞利用,一旦将访问权扩散到其它网络,破坏性会更大。这些漏洞利用的影响力虽然不及零日漏洞,但仍具危险性。

E安全小编建议企业:

禁止外部访问服务器

保持适当的访问控制

经常修改密码

设置复杂的强密码

虽然部署在线可用的服务器(远程桌面网关服务器等)为技术人员带来便利,但其危险性不容忽视,因为网络犯罪分子通常会试图通过外部可访问RDP服务器强力获取访问权限。

关键字:服务器

本文摘自:E安全

各单位注意!8.5万台服务器RDP权限正在地下黑市xDedic售卖 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2018 京ICP备09108050号-6

^