4月26日讯 被称为专属于黑客的e-Bay平台，暗网最大、最具破坏力的黑市xDedic上，经常有各路网络犯罪分子在这上面售卖RDP服务器的访问权限，政府和企业近期提高警惕了。

6个月之前，商业风险情报公司Flashpoint发现，xDedic黑市在售卖包含8.5万余个组织机构信息的数据集。

各单位注意!8.5万台服务器RDP权限正在地下黑市xDedic售卖-E安全

网络犯罪分子通过xDedic购买被攻击的远程桌面协议(Remote Desktop Protocol，RDP)服务器的访问权，这些服务器为入侵在线系统提供了便捷方式，尤其具有远程IT人员的公司。

E安全小编注：RDP是Microsoft的专用协议，允许用户连接至网络上的其它设备，帮助管理员远程控制服务器和PC。

Flashpoint研究总监维塔利-科瑞米兹表示，该公司已经持续观察xDedic两年以上。自2014年xDedic一直在运作，入侵企业的RDP服务器，并在网上转售登录凭证的网络犯罪分子中间建立了声誉。

设置弱口令的服务器最易遭到攻击

科瑞米兹解释称，黑客首先会扫描网络寻找连接到Microsoft远程桌面协议的特定接口，从而获得RDP访问权限。识别具有开放端口的服务器后，黑客强力测试用户名和密码，直到用户名和密码匹配。

一旦取得访问权限，黑客便会在黑市出售服务器，并升级管理员权限。任何购买登录凭证的买家都可以进入企业网络，从而窃取数据，升级权限，发起外部攻击，部署勒索软件，植入恶意软件，操控网络设置，并接管账号。

科瑞米兹指出，这种入侵策略对于设置简短、低复杂度的弱口令的服务器最有效。那么这对强密码就无效么?当然不是!大型僵尸网络仍然可以帮助攻击者获取RDP访问权限。

为什么医疗和教育行业最易遭到攻击?

科瑞米兹解释了威胁攻击者“thedarkoverlord”(因入侵保健机构而臭名昭著)如何使用这类数据集展开攻击。医疗保健行业是遭遇攻击较为频繁的行业之一，其原因在于医疗行业通常开放RDP的访问权，而这可以为网络犯罪分子提供有价值的数据。

该公司调查了医疗保健行业遭遇的数据泄露事件，他们注意到大量医院因暴露的RDP服务器遭遇入侵。

包含超过8.5万个服务器信息的数据集体现了受黑客欢迎的目标行业。据分析，最易被利用的行业为：教育、医疗保健、法律、航空和政府。遭遇黑客攻击最频繁的国家为美国、德国和乌克兰。

各单位注意!8.5万台服务器RDP权限正在地下黑市xDedic售卖-E安全

科瑞米兹指出，相比较而言，教育行业最不安全，最易遭受攻击。黑客通过暴力攻击极易入侵大学的网络。由于大学和医疗保健机构都具有信息共享机制，借此他们可以共享攻击相关信息，并改进信息安全程序。

科瑞米兹认为，xDedic黑市带来的威胁将继续增加，尤其“影子经纪人”(Shadow Brokers)最近曝光一系列NSA黑客工具之后。如果网络犯罪继续开发工具，并利用曝光文件中的漏洞利用，一旦将访问权扩散到其它网络，破坏性会更大。这些漏洞利用的影响力虽然不及零日漏洞，但仍具危险性。

E安全小编建议企业：

禁止外部访问服务器

保持适当的访问控制

经常修改密码

设置复杂的强密码

虽然部署在线可用的服务器(远程桌面网关服务器等)为技术人员带来便利，但其危险性不容忽视，因为网络犯罪分子通常会试图通过外部可访问RDP服务器强力获取访问权限。