近期,微软发布了一份关于RDP(远程桌面协议)暴力破解的深度分析,主要针对的是过去几个月所研究的45000台机器。
这些攻击数据主要来自Microsoft Defender ATP的客户,涉及45000台拥有公网IP且打开了RDP端口,至少存在一个网络登录失败记录的机器。
研究人员发现,平均每天有几百台机器疑似被RDP暴力攻击。
此外,暴力破解平均持续2-3天,约90%的案例中攻击会持续1周或更少的时间,不到5%的案例会持续2周或更久。
约0.08%的RDP暴力破解最后能够成功。
研究人员收集了失败和成功的RDP登录事件的详细信息,Windows事件编码分别为ID 4265和4264。研究人员还收集了正常用户/攻击者可能使用的用户名。
为了不被发现,不少攻击者并不是持续高频率攻击,而是每天每小时只尝试几个组合,整体持续好几天。
报告中表示:“在我们分析的被RDP暴力攻击的机器中,约有0.08%的机器被攻破。”
“此外,经过几个月对所有企业的分析,平均每3-4天就有一台机器很大概率被RDP暴力破解攻陷。”
据微软称,荷兰、俄罗斯和英国的在这些暴力破解中显得很“显眼”。
为了准确检测出服务器的RDP暴力破解流量,微软专家使用了多个指标:
-
一周内和一天内登录RDP连接失败的次数
-
登录失败后成功登录的时间
-
事件ID 4625登录类型(针对网络和远程交互进行过滤)
-
事件ID 4625失败原因(根据字段
%%2308
,%%2312
,%%2313
进行过滤) -
未能成功登录的不同用户名的累计数
-
登录失败的累计数
-
登录RDP的外部IP的累计数
-
同一IP是否对多台机器进行RDP登录(统计登录数目)
微软最后总结:“我们应该认真监控那些登录失败的活动,对整体网络的安全态势有一个较为清晰的认识,并以此为依据提供一个可持续的解决方案。”
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3820.html 来源:https://securityaffairs.co/wordpress/96046/hacking/microsoft-rdp-brute-force-study.html
来源:freebuf.com 2020-01-07 18:23:13 by: 白帽汇
请登录后发表评论
注册