Sophos发表最新研究呈报《远端桌面通讯协定缝隙曝光：威胁已迫在眉睫》(RDP Exposed: The Threat That’s Already at your Door) ，揭示网络罪犯如何测验考试操作远端桌面通讯协定 (RDP) 无情地不停打击各大企业。
 
RDP缝隙依旧是系统打点员的噩梦。Sophos自2011年起便一直发明网络罪犯操作RDP缝隙打击的情况。去年，此中两种最具规模的针对性恶意软件打击 ─ Matrix 及 SamSam 背后的网络犯法集团，更几乎完全放弃其它入侵网络的要领，转而操作RDP缝隙。
 
Sophos安适专家暨呈报首席研究员Matt Boddy暗示：“比来一款名为 BlueKeep (CVE-2019-0708)的RDP远端程式码执行缝隙备受传媒存眷。这个严重的缝隙足可于数小时内引发全球性的恶意软件大发生发火。然而BlueKeep只是冰山一角，所以预防RDP缝隙威胁绝不止于修补系统以防止BlueKeep。IT打点员必需加倍留意RDP的整体运作情况，因为Sophos的研究同时发明，网络罪犯毫不间断地操作暗码猜度打击寻找因RDP缝隙而变得易于入侵的电脑。”
 
Sophos这项最新研究指出，打击者几乎能即时发明连接上互联网，并启用了RDP成果的装置。Sophos为印证上述发明，分袂于全球10个地区设置了低互动蜜罐以评估及量化RDP缝隙带来的危害。
 
研究呈报主要发明：
·         全部10个蜜罐均于一日内收到测验考试登入的记录
·         RDP缝隙使相关电脑在短短84秒内曝光
·         所有RDP蜜罐于 30 日内总记录4,298,513 次登入掉败，平均约每6秒一次
·         业界一般认为网络罪犯通过Shodan等网站寻找开放的RDP缝隙源头，但Sophos研究强调他们其实会操作本身的工具和技术，不必然要依赖第三方网站去寻找存取途径


黑客行为解析：
Sophos按照研究功效识别出黑客打击模式的三大特征——The ram、The swarm 和The hedgehog：
·         The ram 是专为破解打点员暗码而设置的计谋，好比有一名打击者在10日内测验考试登入设于爱尔兰的蜜罐109,934次，最后只用了三个用户名称就能告成访谒。
·         The swarm会操作挨次用户名称及数目有限的最常见暗码：一名打击者于14分钟内以用户名称“ABrown”测验考试登入位于巴黎的蜜罐9次，然后转用“BBrown”、“CBrown”、“DBrown”，如此类推，再使用“A.Mohamed”、“AAli”、“ASmith”与其他用户名称重覆以上的试探模式。
·         The hedgehog则是先进行大量打击勾当，紧接著较长的静止时间，例如巴西的蜜罐可以看到每次的打击岑岭均来自同一IP地点，历时约4小时，傍边包孕3,369 到5,199次暗码猜度。
 
Boddy解释RDP缝隙曝光对企业的影响时暗示：“当今全球有赶过300万部装置可通过RDP访谒，并已成为网络罪犯偏好的切入点。Sophos一直有谈及打击者如何操作针对性勒索软件如BitPaymer、Ryuk、Matrix和SamSam。他们几乎已完全放弃使用其它要领，单靠暴力破解RDP 暗码就可告成入侵企业。由于所有蜜罐因RDP而被曝光于网上，并在数小时内被打击者发明，因此企业必需尽可能减少对付RDP成果的使用，以及确保公司内对暗码的打点行之有效。企业也必需对症下药，采纳适当的安适协议，抵制无休止的网络打击。”
 
详情请参阅《远端桌面通讯协定缝隙曝光：威胁已迫在眉睫》呈报全文。