警報:如果您的密碼很弱,勒索軟件可能會滑落

Ransomware and Weak Passwords

電子郵件是分發各種惡意軟件的一種非常有效的方式,並且有一些很好的理由。首先,每個人都有一個電子郵件帳戶。雖然我們有其他的溝通方式,但我們仍然使用我們的收件箱,我們往往會收到很多重要的信息。黑客也喜歡通過電子郵件分發他們的惡意軟件,因為這樣做幾乎不需要技術技能。即使您不知道如何創建垃圾郵件殭屍網絡,也可以隨時“租用”。

最後但並非最不重要的是,電子郵件是一個堅實的感染媒介,因為我們人類是好奇的生物,即使我們大多數人都不願意承認它,但是要欺騙我們打開文件,在Word文檔上啟用宏,並不難,或單擊鏈接。總而言之,使用未經請求的電子郵件向用戶發送垃圾郵件可能是感染惡意軟件的最簡單方法之一。不過,這不是唯一的一個。

什麼是RDP?

RDP代表遠程桌面協議,黑客,特別是勒索軟件運營商,喜歡濫用它來部署他們的惡意軟件。追求企業的騙子因為經常在企業環境中使用而對其表現出特別強烈的喜愛。

不久前推出的RDP正如它在盒子上所說的那樣 - 它可以讓你遠程控制計算機或服務器。該協議由Microsoft開發,現代Windows系統帶有內置客戶端。系統管理員最喜歡RDP,但是,工具也可用於其他平台。它非常有用,特別是當系統管理員需要處理分散在幾個不同位置的設備時。

黑客如何濫用RDP?

正如您所看到的,RDP是一項相當古老的技術,多年來,專家們發現了許多安全漏洞,可能會讓未經授權的用戶遠程控制計算機。當然,軟件供應商通常會快速發布安全漏洞的補丁,但補丁的問題是釋放它們是不夠的。如果他們要做任何事情,他們需要被應用。不幸的是,一些系統管理員意識到這個陳述在為時已晚時是多麼真實。

已知的RDP漏洞可以幫助惡意軟件運營商在組織網絡內部署其有效負載。然而,通常,利用安全漏洞可能意味著許多艱苦的工作,而且眾所周知,黑客不喜歡努力工作。這就是為什麼他們經常更喜歡使用更簡單的方式通過RDP滲透企業網絡。

與許多其他允許遠程管理的協議一樣,RDP可以通過用戶名和密碼進行保護。不幸的是,一些組織並未意識到這一點,並且無意中將自己暴露給網絡犯罪分子。如果RDP不受密碼保護,遠程登錄計算機就像找到正確的IP並按Enter鍵一樣簡單。

當然,許多系統管理員都知道RDP可以放在密碼後面,但遺憾的是,其中一些人低估了它的重要性,並使用了一些軟弱且易於猜測的東西,這使得騙子的生活變得更加輕鬆。 RDP確實為鎖定機制提供了一個選項,它不允許快速連續地進行大量不成功的登錄嘗試,但不幸的是,似乎並沒有那麼多系統管理員啟用它。因此,RDP登錄憑據可以成為暴力攻擊的理想目標。

這也不僅僅是一種理論。 7月,LabCorp 遭受了網絡攻擊 。起初,人們擔心患者的敏感數據已被置於危險之中,但後來證明這是一次勒索軟件爆發. 這些騙子設法感染了高達7千個系統以及1,900台服務器,並且他們在成功地強制執行醫療公司的RDP登錄憑證後做到了這一點。

對RDP的攻擊如此頻繁,以至於9月,聯邦調查局的互聯網犯罪投訴中心(IC3)向中小型企業發出關於運行受保護的RDP的潛在後果的警告

系統管理員可以做些什麼來避免威脅?

如果您是系統管理員,您應該開始認識到RDP的重要性。如果您所在的組織不需要協議,則最好禁用它。如果是這樣,請確保它不容易訪問。

確保您的團隊使用的所有軟件程序都已正確更新和修補。查看具有RDP訪問權限的帳戶,並為不需要它的帳戶將其禁用。在每個密碼上設置強大的,唯一的密碼,並對可以為您提供有用的安全功能(如雙因素身份驗證)的其他工具進行一些研究。啟用網絡級別身份驗證(NLA)以進一步保護RDP會話,並在可能的情況下限制對特定IP的訪問。更改默認RDP端口(3389)以確保自動掃描程序更難以檢測到您的網絡。最後但並非最不重要,請備份您的重要信息。一個全新的工作備份是最好的解決方案,不僅在勒索軟件感染的情況下,而且還有許多其他問題。

保護組織的整個網絡是一個漫長而復雜的過程,正確配置RDP只是其中一個步驟。然而,考慮到與該特定協議有多少問題,它可能是最重要的問題之一。

January 28, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
9 + 6是什麼?