警报:如果您的密码很弱,勒索软件可能会滑落

Ransomware and Weak Passwords

电子邮件是分发各种恶意软件的一种非常有效的方式,并且有一些很好的理由。首先,每个人都有一个电子邮件帐户。虽然我们有其他的沟通方式,但我们仍然使用我们的收件箱,我们往往会收到很多重要的信息。黑客也喜欢通过电子邮件分发他们的恶意软件,因为这样做几乎不需要技术技能。即使您不知道如何创建垃圾邮件僵尸网络,也可以随时“租用”。

最后但并非最不重要的是,电子邮件是一个坚实的感染媒介,因为我们人类是好奇的生物,即使我们大多数人都不愿意承认它,但是要欺骗我们打开文件,在Word文档上启用宏,并不难,或单击链接。总而言之,使用未经请求的电子邮件向用户发送垃圾邮件可能是感染恶意软件的最简单方法之一。不过,这不是唯一的一个。

什么是RDP?

RDP代表远程桌面协议,黑客,特别是勒索软件运营商,喜欢滥用它来部署他们的恶意软件。追求企业的骗子因为经常在企业环境中使用而对其表现出特别强烈的喜爱。

不久前推出的RDP正如它在盒子上所说的那样 - 它可以让你远程控制计算机或服务器。该协议由Microsoft开发,现代Windows系统带有内置客户端。系统管理员最喜欢RDP,但是,工具也可用于其他平台。它非常有用,特别是当系统管理员需要处理分散在几个不同位置的设备时。

黑客如何滥用RDP?

正如您所看到的,RDP是一项相当古老的技术,多年来,专家们发现了许多安全漏洞,可能会让未经授权的用户远程控制计算机。当然,软件供应商通常会快速发布安全漏洞的补丁,但补丁的问题是释放它们是不够的。如果他们要做任何事情,他们需要被应用。不幸的是,一些系统管理员意识到这个陈述在为时已晚时是多么真实。

已知的RDP漏洞可以帮助恶意软件运营商在组织网络内部署其有效负载。然而,通常,利用安全漏洞可能意味着许多艰苦的工作,而且众所周知,黑客不喜欢努力工作。这就是为什么他们经常更喜欢使用更简单的方式通过RDP渗透企业网络。

与许多其他允许远程管理的协议一样,RDP可以通过用户名和密码进行保护。不幸的是,一些组织并未意识到这一点,并且无意中将自己暴露给网络犯罪分子。如果RDP不受密码保护,远程登录计算机就像找到正确的IP并按Enter键一样简单。

当然,许多系统管理员都知道RDP可以放在密码后面,但遗憾的是,其中一些人低估了它的重要性,并使用了一些软弱且易于猜测的东西,这使得骗子的生活变得更加轻松。 RDP确实为锁定机制提供了一个选项,它不允许快速连续地进行大量不成功的登录尝试,但不幸的是,似乎并没有那么多系统管理员启用它。因此,RDP登录凭据可以成为暴力攻击的理想目标。

这也不仅仅是一种理论。 7月,LabCorp 遭受了网络攻击 。起初,人们担心患者的敏感数据已被置于危险之中,但后来证明这是一次勒索软件爆发. 这些骗子设法感染了高达7千个系统以及1,900台服务器,并且他们在成功地强制执行医疗公司的RDP登录凭证后做到了这一点。

对RDP的攻击如此频繁,以至于9月,联邦调查局的互联网犯罪投诉中心(IC3)向中小型企业发出关于运行受保护的RDP的潜在后果的警告

系统管理员可以做些什么来避免威胁?

如果您是系统管理员,您应该开始认识到RDP的重要性。如果您所在的组织不需要协议,则最好禁用它。如果是这样,请确保它不容易访问。

确保您的团队使用的所有软件程序都已正确更新和修补。查看具有RDP访问权限的帐户,并为不需要它的帐户将其禁用。在每个密码上设置强大的,唯一的密码,并对可以为您提供有用的安全功能(如双因素身份验证)的其他工具进行一些研究。启用网络级别身份验证(NLA)以进一步保护RDP会话,并在可能的情况下限制对特定IP的访问。更改默认RDP端口(3389)以确保自动扫描程序更难以检测到您的网络。最后但并非最不重要,请备份您的重要信息。一个全新的工作备份是最好的解决方案,不仅在勒索软件感染的情况下,而且还有许多其他问题。

保护组织的整个网络是一个漫长而复杂的过程,正确配置RDP只是其中一个步骤。然而,考虑到与该特定协议有多少问题,它可能是最重要的问题之一。

January 28, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 8是什么?