转自welivesecurity，作者Aryeh Goretsky，蓝色摩卡译，合作站点转载请注明原文译者和出处为超级盾！

到目前为止，尽管BlueKeep（CVE-2019-0708）漏洞尚未引起广泛的破坏，我们将在这篇文章中探讨其原因，但该漏洞尚处于被研究了解的早期。

事实仍然是，许多系统仍未打补丁，并且仍可能找到该漏洞的完全可蠕虫版本。由于这些因素，ESET创建了免费的实用程序来检查系统是否易受攻击。

什么是RDP？

RDP是“远程桌面协议”的缩写，它允许一台计算机通过网络连接到另一台计算机，以便远程使用它。

在域中，运行Windows Client操作系统，例如Windows XP或Windows 10的计算机预装有RDP客户端软件作为操作系统的一部分，这使它们可以连接到网络上的其他计算机，包括组织的服务器。

在这种情况下，与服务器的连接意味着它可以直接与服务器的操作系统相连，也可以与该服务器上虚拟机内部运行的操作系统相连。

通过该连接，人们可以打开目录，下载和上传文件以及运行程序，就像使用连接到该服务器的键盘和监视器一样。

攻击者如何使用RDP？

在过去的几年中，ESET看到了越来越多的事件，攻击者使用RDP从Internet远程连接到Windows Server并以计算机管理员的身份登录。

一旦攻击者以管理员身份登录服务器，他们通常将进行一些侦察以确定该服务器用于什么，由谁使用以及何时使用。知道他们可以控制的服务器类型，他们就可以开始执行恶意操作。我们看到的常见恶意活动包括：

1. 清除包含其在系统上存在证据的日志文件
2. 禁用计划的备份和卷影副本
3. 禁用安全软件或在其中设置排除项（管理员允许）
4. 将各种程序下载并安装到服务器上
5. 擦除或覆盖旧备份（如果可以访问）
6. 从服务器中窃取数据

这不是攻击者可以做的所有事情的完整列表，攻击者也不一定要执行所有这些活动。

如果攻击者有预定的议程，攻击者可能会在几天之内多次联系，也可能只有一次。虽然攻击者将执行的操作的确切性质差异很大，但最常见的两个是：

安装硬币开采程序以生成 加密货币，例如Monero，安装勒索软件以勒索组织的金钱，通常使用诸如比特币之类的加密货币支付。

在某些情况下，如果发现并终止了他们的RDP活动，攻击者可能会安装其他远程控制软件来维护对受感染服务器的访问（进行后续的持续性攻击）。

精彩在后面

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾能做到：防得住、用得起、接得快、玩得好、看得见、双向数据加密！

閱讀更多 超級盾 的文章

關鍵字: Server 电脑 ____