缓解远程桌面协议（RDP）攻击的7条建议

背景介绍

·2016年6月，卡巴斯基实验室研究人员揭露，黑客利用远程桌面协议（RDP）窃取85,000台来自医院、学校、航空公司和政府机构的服务器，还公开在地下黑市贩卖；

· 2017年4月，黑客利用RDP终端与俄罗斯银行的8台ATM机建立连接，吐出80万美元存款；

· 2017年6月，勒索软件SamSam也是使用RDP成功感染了大约7,000台Windows PC和1,900台服务器；

· 2017年8月，根据Rapid7 公司安全专家进行的一项研究结果显示，截至2017年7月，全球仍有410万个远程桌面协议（RDP）终端公开暴露在网络上，可以想象，如果企业没有妥善保护RDP，网络和端点安全将受到严重威胁；

· 2018年3月，微软远程桌面协议（RDP）再曝安全漏洞，几乎所有版本的Windows操作系统都受其影响，可能允许远程攻击者利用远程桌面协议（RDP）和Windows远程管理（WinRM）窃取数据并运行恶意代码。

近年来，远程桌面协议（RDP）中发现的漏洞让大家将目光都聚焦在它身上，种种案例也都表明RDP终端已经成为黑客入侵电脑的管道，也成为勒索软件最主要的攻击媒介。2018年9月，互联网犯罪投诉中心（IC3）与FBI和DHS就合作发布了一项警报，原因是越来越多的勒索软件和数据盗窃事件利用远程桌面协议（RDP）作为攻击媒介。

攻击者不仅反复利用暴露于互联网的RDP服务，在属于众多主要组织的系统和网络上安装勒索软件，还利用RDP在企业系统上安装加密工具、键盘记录程序、后门程序以及其他恶意软件。如今，许多攻击者已经通过RDP服务在企业网络中建立了立足点，以提升特权、收集凭证、在受损环境中横向移动，并为误导目的设置错误标记。

在下述这篇文章中，我们将简要的探讨什么是RDP以及RDP攻击？为什么我们需要RDP？它用于企业端点的最常见方式有哪些？然后，我们将探讨企业如何确保RDP的安全使用，或者在适当的时候，如何确保它没有被使用。

什么是RDP？

远程桌面协议是Microsof（微软）公司创建的专有协议。它允许系统用户通过图形用户界面连接到远程系统。在默认情况下，该协议的客户端代理内置在微软的操作系统中，但也可以安装在非微软操作系统中，例如苹果的操作系统、不同版本的Linux，甚至还可以安装在移动操作系统中，例如Android。

RDP的服务器端安装在微软操作系统上，从客户端代理接收请求，显示发布应用程序的图，或者远程访问系统本身。在默认情况下，系统在端口3389来监听来自客户端的通过RDP的连接请求。

RDP在企业的最常用方式？

通常情况下，RDP或者终端服务会话被配置在需要分布式客户端机器来连接的服务器上。它可以用于管理、远程访问，或者发布用于中央使用的应用程序。该协议还常被桌面管理员用来远程访问用户系统，以协助排除故障。如果RDP没有正确配置的话，这种特定功能将会给企业带来威胁，因为未授权访问者将可以访问关键企业系统。

什么是RDP攻击？

在RDP攻击中，犯罪分子会主动寻找不安全的RDP服务来利用和访问企业网络。通常来说，想要实现RDP攻击非常容易，因为许多组织根本无法保护RDP服务免受未经授权的访问。

安全自动化和事件响应技术提供商Demisto的联合创始人Rishi Bhargava表示，

成功的RDP攻击带来的回报是巨大的！攻击者一旦成功访问了RDP，其所能影响的设备范围将十分广泛，获取的收益也就不言而喻了。

RDP攻击发展趋势：自动化

攻击者喜欢以RDP为目标，因为这种协议非常易于使用，并且能够提供完全控制受损系统的机会。更重要的是，它使攻击者能够通过平常用于合法目的的协议来访问系统，因此，防御者更难以检测到这种恶意活动。

Microsoft RDP为用户提供了一种“从运行Windows的另一台计算机连接到远程Windows系统”的方法。它提供远程显示和输入功能，允许个人访问和使用远程Windows系统，就像他们实际坐在设备前面一样。例如，通过RDP，您可以使用家用Windows PC访问工作计算机，并在其上执行与工作相同的任务。

组织通常可以远程访问设备，因此支持人员可以访问它们以解决问题并修复问题，而无需物理接触系统。虽然该功能非常有用，但许多组织无法正确保护可访问远程桌面的帐户，例如，不要求强密码，不启用网络级别身份验证，也不限制可通过远程桌面登录的用户等等。

特权帐户管理工具提供商Thycotic的首席安全科学家Joseph Carson表示，

许多公司通常会默认启用RDP。虽然该服务通常提供管理员级别的系统访问权限，但保护它的唯一安全控制措施通常只有一个简单的密码。

攻击者只需要使用暴力破解和彩虹表的方式，就能够轻易的破解这些弱口令，从而获取对系统的完全访问权限，以实现窃取敏感数据、植入恶意软件等恶意目的。Carson表示，

只需扫描已启用RDP服务的互联网连接设备，就能轻易的在线找到这些系统，并实施各种恶意操作。

除此之外，攻击者也可以简单的从其他犯罪分子手中购买密码。近年来，众多暗网市场如雨后春笋般涌现，并以低至3美元的价格出售受损的RDP服务器访问权限。安全厂商McAfee和Flashpoint就曾报道称，在一家名为Ultimate Anonymity Service（UAS）的商店中，就销售用于访问全球35,000至40,000台RDP服务器的密码，其中包括属于政府、医疗保健和其他主要组织的服务器。

Flashpoint高级分析师Luke Rodeheffer表示，

一个明显的趋势是，通过暴力破解软件和工具（旨在同时控制大量服务器）可以实现针对RDP服务器的自动化过程。

7条缓解建议

鉴于上述趋势，安全专家建议您可以通过下述措施缓解RDP攻击对企业造成的影响：

1. 使用强密码

使用强大的用户名和密码进行RDP访问。Sophos公司首席研究科学家Chet Wisniewski表示，对于缓解RDP攻击而言，使用长而安全的密码组合是一个非常好的办法。尤其是对于管理账户而言，还需要启用双因素身份验证，并始终隐藏VPN后的访问权限。

Wisniewski称，

切勿直接在互联网上暴露远程访问工具。虽然此举可能会带来一些不便，但是与凌晨3点还要爬起来加班处理安全事故相比，这点不便应该算不上什么问题。

仅从默认的“admin / administrator”更改登录凭据，可以显著降低暴力攻击成功率。

2. 实施基于角色的访问控制

组织需要限制具有RDP控制台管理员访问权限的用户数，此外，还需要限制具有此类访问权限的用户的具体权限。Demisto公司的Bhargava表示，

基于角色的细粒度访问控制，将有助于最大限度的减少攻击者获取访问权限后可能造成的伤害等级。

3. 为RDP启用网络级别身份验证（NLA）

网络级别身份验证可以提供额外的保护层。启用NLA后，任何尝试通过RDP连接到远程系统的用户都需要在建立会话前，先对其身份进行验证。Arntz表示，

切勿禁用网络级别身份验证，因为它可以提供额外的身份验证级别。如果您还没有启用它的话，建议您立即启用！

4. 更改RDP端口

像Shodan这样的服务器，允许攻击者可以轻松的找到暴露在网络上的运行RDP的系统。对此，Malwarebytes的首席情报记者Pieter Arntz表示，更改您的RDP端口可以确保那些搜寻开放式RDP端口的端口扫描器不会扫描到您的RDP系统。默认情况下，服务器会在端口3389上侦听TCP和UDP。

Flashpoint公司的Rodeheffer还警告称，

与此同时，组织还应该意识到，目前针对RDP服务器的软件不仅会针对RDP端口3389，而且还会针对非标准端口。因此，密切关注网络日志中针对RDP端口的暴力攻击活动也是至关重要的一步。

5. 跟踪您的RDP服务器

了解您的网络环境中哪些系统启用了RDP服务。您需要确保网络上没有流氓或未经批准的RDP服务器，尤其是直接连接到互联网的任何东西。自动威胁管理提供商Vectra的高级产品经理Jacob Sendowski表示，

您可以考虑在RDP服务器日志上启用日志记录和监控功能，以便了解谁在访问RDP。监控RDP网络流量以获取异常访问，异常连接和会话特性，有助于查看对RDP服务的任何滥用情况。

6. 使用RDP网关

RDP网关通常安装在公司网络内。网关的功能是安全的将流量从远程客户端传递到本地设备。它可以帮助组织确保只有授权用户才能使用RDP，并控制他们有权访问的设备。Bhargava表示，使用RDP网关可以防止或最小化远程用户访问，并使组织能够更好的控制用户角色，访问权限和身份验证需求。

一旦发生安全事故，并且您正试图找出可能导致这些事故的原因，那么来自这些系统的RDP会话日志就能够发挥作用了。Arntz还补充道，由于日志不在受感染的计算机上，因此攻击者无法轻易修改它们。

7. 做好应对早期症状的准备

您需要制定机制来发现RDP攻击并快速停止它。例如，您可以考虑实施能够发现对RDP系统的重复登录尝试的安全工具。Bhargava指出，您需要拥有一个自动化手册来快速验证尝试登录的用户及其IP地址，以及一种能够在检测到恶意意图时自动关闭访问的机制。

Sendowski表示，

组织需要意识到攻击者将会把目标瞄准他们的RDP基础设施，不仅是为了安装勒索软件和加密矿工等机会性攻击，有可能还作为目标性攻击的一部分。RDP是远程访问的绝佳工具，不仅能够授权雇员，同时也能赋予攻击者完全访问权限。