一场大规模活动针对的是美国的远程桌面协议 (RDP) 服务,利用了超过 100,000 个 IP 地址的僵尸网络。该活动于 10 月 8 日开始,威胁监控平台 GreyNoise 的研究人员认为这些攻击源自多国僵尸网络。
RDP 是一种允许远程连接和控制 Windows 系统的网络协议,通常由系统管理员、帮助台工作人员和远程员工使用。攻击者经常扫描开放的 RDP 端口来进行暴力登录、利用漏洞或执行其他攻击。
GreyNoise 研究人员发现该僵尸网络采用了两种特定的 RDP 相关攻击方法。第一种是 RD Web 访问计时攻击,僵尸网络在匿名身份验证期间探测端点并测量服务器响应时间的差异,以推断有效的用户名。第二种方法是 RDP Web 客户端登录枚举,它与登录过程交互,通过观察不同的服务器行为和响应来识别用户帐户。
该活动是在来自巴西的流量出现异常激增后首次被发现的。随后其他国家也开始采取行动,包括阿根廷、伊朗、中国、墨西哥、俄罗斯、南非和厄瓜多尔。据 GreyNoise 称,构成僵尸网络的受感染设备遍布 100 多个国家。
技术分析显示,几乎所有攻击 IP 地址都共享一个共同的 TCP 指纹。最大分段大小的微小变化被认为是由僵尸网络内的不同集群引起的。为了减轻这种威胁,GreyNoise 建议系统管理员阻止已识别的攻击 IP 地址,并检查系统日志以查找可疑 RDP 探测的迹象。
作为安全最佳实践,建议组织不要将 RDP 服务直接公开到公共互联网。实施虚拟专用网络 (VPN) 并要求多重身份验证 (MFA) 可以针对此类攻击提供额外的保护层。
