轉自welivesecurity,作者Aryeh Goretsky,藍色摩卡譯,合作站點轉載請註明原文譯者和出處為超級盾!
到目前為止,儘管BlueKeep(CVE-2019-0708)漏洞尚未引起廣泛的破壞,我們將在這篇文章中探討其原因,但該漏洞尚處於被研究瞭解的早期。
事實仍然是,許多系統仍未打補丁,並且仍可能找到該漏洞的完全可蠕蟲版本。由於這些因素,ESET創建了免費的實用程序來檢查系統是否易受攻擊。
什麼是RDP?
RDP是“遠程桌面協議”的縮寫,它允許一臺計算機通過網絡連接到另一臺計算機,以便遠程使用它。
在域中,運行Windows Client操作系統,例如Windows XP或Windows 10的計算機預裝有RDP客戶端軟件作為操作系統的一部分,這使它們可以連接到網絡上的其他計算機,包括組織的服務器。
在這種情況下,與服務器的連接意味著它可以直接與服務器的操作系統相連,也可以與該服務器上虛擬機內部運行的操作系統相連。
通過該連接,人們可以打開目錄,下載和上傳文件以及運行程序,就像使用連接到該服務器的鍵盤和監視器一樣。
攻擊者如何使用RDP?
在過去的幾年中,ESET看到了越來越多的事件,攻擊者使用RDP從Internet遠程連接到Windows Server並以計算機管理員的身份登錄。
一旦攻擊者以管理員身份登錄服務器,他們通常將進行一些偵察以確定該服務器用於什麼,由誰使用以及何時使用。知道他們可以控制的服務器類型,他們就可以開始執行惡意操作。我們看到的常見惡意活動包括:
- 清除包含其在系統上存在證據的日誌文件
- 禁用計劃的備份和卷影副本
- 禁用安全軟件或在其中設置排除項(管理員允許)
- 將各種程序下載並安裝到服務器上
- 擦除或覆蓋舊備份(如果可以訪問)
- 從服務器中竊取數據
這不是攻擊者可以做的所有事情的完整列表,攻擊者也不一定要執行所有這些活動。
如果攻擊者有預定的議程,攻擊者可能會在幾天之內多次聯繫,也可能只有一次。雖然攻擊者將執行的操作的確切性質差異很大,但最常見的兩個是:
安裝硬幣開採程序以生成 加密貨幣,例如Monero,安裝勒索軟件以勒索組織的金錢,通常使用諸如比特幣之類的加密貨幣支付。
在某些情況下,如果發現並終止了他們的RDP活動,攻擊者可能會安裝其他遠程控制軟件來維護對受感染服務器的訪問(進行後續的持續性攻擊)。
精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
閱讀更多 超級盾 的文章