安全研究人員發現有好幾個「黑暗網路」(Dark Web) 的地下市場在販賣能夠存取企業遠端桌面(RDP)伺服器的憑證,只要賣3美元。該報告揭示一個名為Ultimate Anonymity Services(UAS)的著名地下市場販賣來自醫療產業、教育和政府等組織的 RDP 帳號。
值得一提的是總共提供了3.5萬筆暴力破解來的RDP帳號,其中有7,200筆來自中國,6,100筆來自巴西,3,000筆來自印度,1,300筆來自西班牙,900筆來自哥倫比亞。UAS服務商還出售了300個位在美國的RDP帳號,分別來自加州、俄亥俄州、奧勒岡州和維吉尼亞州。價格介於3美元到10美元間。研究人員指出,跟競爭對手(如xDedic)以高達100美元價格銷售類似產品相比,UAS的較低價格是因為它在網路犯罪分子間越來越受歡迎。
[相關閱讀:WannaCry勒索病毒在中東和北非地下市場以50美元出售]
這份報告解釋了最近所發生的一連串資料外洩和勒索病毒相關事件,因為能夠進入這些系統和網路讓網路犯罪分子和惡意份子可以竊取資料或將資料當作人質。舉例來說,暴力破解RDP是Crysis勒索病毒的主要感染媒介和進入點。即使是像MajikPOS這樣的銷售端點病毒也結合了入侵的RDP帳號和遠端存取木馬來竊取信用卡資料,然後在地下論壇販賣。
[延伸閱讀:你的資料如何被用來對付你?]
的確,地下市場遍布著非法商品及遭竊資料和惡意軟體,供應商經常會根據需求來調整售價。但以中東和北非地下市場為例,它們的貨幣價值也會受到參與者的獨特文化所影響。
事實上,許多惡意軟體和對某些系統和網路的連線服務在中東和北非地下市場是免費提供。包括了加密程式、鍵盤側錄程式、SQL注入工具、惡意軟體產生器到資料採集與監控系統(SCADA)端口號碼。RDP只賣8美元,而電子商務憑證售價僅1美元。
在中東和北非地下市場的部分商品價格
[延伸閱讀:網路犯罪地下市場:各地區的地下市場有何不同]
因為遠端桌面可以成為攻擊者通往組織重要資產的入口,攻擊者可以這麼輕易的取得也凸顯出保護它們的重要。以下是一些可行的對策:
- 可以的話要限制RDP存取或將RDP端口變更為非標準端口,來防止攻擊者從入侵的電腦來進行連線
- 強化RDP服務來對抗暴力攻擊:加強存取RDP的憑證,並實施雙因子身份認證,帳號鎖住策略和使用者權限控制
- 利用加密通道來防止駭客竊聽遠端連線
- 保持RDP客戶端和伺服器更新和進行修補來防止漏洞攻擊
- 定期備份資料並確保其完整性
- 停用或限制對共享磁碟的存取來減少RDP遭受攻擊的風險
- 主動監控網路內是否有任何可疑活動或警訊(如暴力破解登入)
趨勢科技解決方案
趨勢科技的XGen安全防護提供跨世代的混合威脅防禦技術,針對資料中心、雲端環境、網路和端點所面對的各種威脅。它具備高保真機器學習功能來防護閘道和端點資料及應用程式,並保護實體、虛擬和雲端工作機。加上網頁/網址過濾、行為分析和客製化沙盒等功能,XGen防護技術可以抵禦今日特製來避開傳統控制,利用已知、未知或未公開漏洞進行攻擊,竊取或加密個人身份識別資料的各式威脅。智慧化、最佳化和保持連線,XGen支援著趨勢科技的一系列安全解決方案:混合雲端安全(Hybrid Cloud Security),使用者保護(User Protection)和網路防禦(Network Defense)。
@原文出處:Access to Corporate Remote Desktops Sold for $3 in the Dark Web