随着越来越多的组织转向远程工作、分布式团队和云连接环境,远程访问解决方案已成为实现员工灵活性不可或缺的工具。
然而,虽然远程访问的兴起是一项极好的技术进步,但它也为攻击者创造了更多的访问点和更多的机会。
如今,远程访问攻击和利用远程桌面协议(RDP)仍然是勒索软件团伙和网络犯罪分子最常用的初始访问方法之一。
一个积极的趋势是什么?我们现在有了比以往更详细的报告。安全性供应商、IR 团队和新闻媒体经常发布事件分析,精确显示攻击者如何获得访问权限、使用哪些远程访问工具以及如何升级权限。
对于愿意关注的组织而言,这种透明度有两大好处:
- 你可以清楚地看到远程访问漏洞是如何被利用的。
- 你会发现,要降低风险,必须改变环境中的哪些因素。
在本指南中,我们将分析最常见的远程访问漏洞、攻击者如何利用这些漏洞,以及您可以采取哪些具体步骤来确保环境安全性并防止基于 RDP 的勒索软件攻击。
常见远程访问漏洞
远程访问漏洞是许多成功网络攻击的支柱。它们为攻击者渗透网络、窃取数据或部署恶意软件敞开了大门。
随着全球远程工作的扩大,远程访问的风险也随之增加。据世界经济论坛称,到 2030 年,全球数字工作岗位将增加 25%,从而新增数百万个远程端点,这些端点可能成为攻击者的潜在入口。
这凸显了了解这些漏洞对加强安全态势和防止潜在漏洞的重要性。
下面,我们将讨论企业目前面临的最常见远程访问漏洞:
缺乏信息和可见度
许多组织缺乏对远程访问系统的全面可见性和了解,如 VPN 配置、RDP 设置和第三方访问控制。
如果没有清晰的远程访问工具和端点清单,就很容易发生配置错误。这些知识缺口可能导致
- 配置不当的 VPN 和防火墙
- 意外泄露敏感数据
- 未经授权的用户通过安全性差的设备获取访问权限
此外,远程工作人员可能会在不知情的情况下连接到不安全的公共 Wi-Fi,从而增加中间人攻击的风险。
密码共享和证书薄弱
共享密码是一种常见但危险的做法。当员工共享凭证,尤其是远程访问系统的凭证时,跟踪问责就变得非常困难。
重复使用或薄弱的密码会使系统容易受到暴力破解攻击或凭证填充。此外,当员工离职时,如果不更改共享密码,在员工离开很久之后,系统仍有可能被利用。
不安全或过时的软件
勒索软件和其他类型的恶意软件会利用未打补丁的软件。许多组织继续使用过时的 RDP 软件、VPN 客户端或其他远程访问系统,这些都是网络犯罪分子的已知目标。这些系统存在漏洞:
- 允许通过未修补的漏洞发送恶意软件
- 允许攻击者远程执行代码
- 提供敏感数据和系统的后门访问权限
许多软件供应商都会定期发布修补程序来修复这些漏洞,但如果不应用更新,系统就会暴露在外。过时或不安全的第三方软件、插件或扩展也可能提供无意的入口点。
使用个人设备进行远程工作
个人设备,即那些不受组织 IT 部门管理的设备,在用于工作时会带来巨大风险。员工可能从以下设备连接性:
- 不安全的个人设备,缺乏企业级安全控制措施
- 未遵守公司安全性政策(如端点加密)的设备
- 影子 IT,在工作中使用未经授权的应用程序或服务
这些设备还可能缺乏定期的安全性更新,使企业容易受到恶意软件和勒索软件的攻击。个人设备通常缺乏与公司管理设备相同级别的控制、监控或身份验证,容易受到未经授权的访问。
补丁管理不足
许多组织在打补丁和更新系统方面面临挑战,尤其是在处理传统基础架构或 IT 资源有限的情况下。未打补丁的系统很容易成为网络犯罪分子的目标,他们会主动扫描网络以查找漏洞。当补丁被延迟或错过时:
- 攻击者可利用远程访问软件中的已知漏洞
- 自动攻击工具可扫描未打补丁的设备并入侵它们
- 恶意代码可以利用这些漏洞作为切入点在网络上传播
就 RDP 而言,攻击者通常会对薄弱或未打补丁的服务使用暴力破解攻击来获取访问权。
易受攻击的备份
备份对于网络攻击时的恢复至关重要,但不安全的备份也可能成为攻击目标。攻击者通常会寻找暴露的云备份或未加密的数据,将其作为第二攻击点。如果没有强大的访问控制和加密,这些备份很容易成为数据盗窃或勒索软件的入口。
设备卫生状况差
忽视定期的设备更新和安全性检查会增加感染恶意软件和勒索软件的风险。随着时间的推移,设备会不断积累漏洞,这些漏洞:
- 增加网络犯罪分子的攻击面
- 如果权限或安全性证书过期,允许未经授权的访问
- 使攻击者能够感染设备,然后将其用作更大规模网络渗透的发射台
定期保持设备卫生和更新安全性软件对于降低安全漏洞的风险至关重要。
网络钓鱼攻击
网络钓鱼仍然是获取未经授权访问的最普遍方法之一。网络犯罪分子发送
- 看似合法的欺骗性电子邮件:攻击者经常模仿可信赖的公司、供应商或内部部门发送电子邮件。这些邮件可能包含虚假发票、密码重置链接或紧急请求,旨在诱骗用户点击恶意链接或共享敏感信息。
- Smishing(短信网络钓鱼)或 Vishing(语音网络钓鱼):网络犯罪分子还利用短信和电话来显示可信度。网络钓鱼信息可能包含欺诈网站链接或 “验证 “账户的紧急提示。网络钓鱼是指来电者冒充银行、IT 支持或政府机构,迫使受害者透露登录信息、财务信息或安全性密码。
- 伪造登录门户:攻击者为电子邮件或云账户等服务设置外观相似的登录页面。这些页面近似真实的品牌和 URL,诱骗用户输入用户名和密码,然后盗取用户名和密码。
现在,攻击者正在使用包括机器学习在内的先进手段来制作个性化的网络钓鱼信息和域名欺骗,以使其攻击更可信。一旦凭证被窃取,它们就可以被轻易地用于访问远程访问系统,如 RDP、VPN 或云服务。
攻击者如何利用远程访问漏洞获取访问权
长期以来,人们都知道,不管是哪种变种的勒索软件攻击,很大一部分都是从网络钓鱼或基于 Remote Desktop 的入侵开始的。
我们在以前的章节中提到过的网络钓鱼是一个明显的切入点:一旦成功,攻击者就会获得终端会话和有效的用户凭据。但远程桌面攻击(包含通过商业远程访问工具进行的攻击)也会带来同样的结果。
无论攻击者是使用暴力尝试(测试数千个密码),还是使用从以前的漏洞中购买或获取的窃取凭证,基于 RDP 的攻击仍然同样有效,因此与网络钓鱼并驾齐驱,成为最主要的初始攻击媒介。
RDP 漏洞利用的真实案例
一个有据可查的例子涉及 MedusaLocker,这是一种于 2019 年首次发现的勒索软件变种,最近又死灰复燃,促使政府机构发布了联合网络安全咨询。MedusaLocker 操作员主要以暴露的 RDP 连接为目标–有时是为了方便而故意发布的,有时则是意外打开的。获得访问权限后,他们会部署勒索软件、加密关键数据并要求付款。
Sophos 的研究人员记录的另一个影响巨大的案例揭示了一个利用 LockBit 勒索软件的组织是如何 通过 RDP 渗透到美国政府网络的。令人震惊的是,攻击者在网络中进行了长达五个月的横向探索而未被发现,然后才开始部署勒索软件。
攻击者如何利用远程访问进行升级和横向移动
既然了解了攻击者是如何利用远程访问漏洞获取访问权限的,那我们就来讨论一下他们是如何利用远程访问进行升级和横向移动的:
根据 MITRE ATT&CK Framework,一旦攻击者获得本地访问权限,下一个逻辑阶段就是横向移动。在这一阶段,远程访问机制(尤其是内部 RDP)通常会被滥用。
勒索软件事件响应公司Coveware 的最新数据显示,大约 70% 的勒索软件攻击都会发生横向移动。他们的分析师指出,这一阶段 “主要包括在初始访问后滥用内部远程桌面(RDP)”。
通过横向移动,攻击者可以升级权限、访问更多端点、查找敏感数据并定位勒索软件,以产生最大影响。
防止勒索软件攻击中远程访问滥用的有效策略
随着威胁行为者不断出于恶意目的滥用远程访问,IT 和安全性领导者必须采取果断措施降低风险。以下是企业可以采取的最具影响力的预防滥用行动:
禁用面向外部的远程访问
攻击者经常在暴露于公共互联网的台式机和服务器上对凭据进行暴力破解。即使微软最近的 Windows 11 更新能自动阻止 RDP 强制尝试,也无法完全缓解这种威胁,尤其是当攻击者手中有一套窃取的凭据时。
59% 的组织都经历过以窃取凭证为重点的网络钓鱼活动,再加上专门出售凭证的暗网服务的存在,许多攻击者不再依靠暴力手段来获取访问权限,这一点应该是显而易见的。
在可行的情况下,消除外部可访问的 RDP 和其他桌面级远程访问路径。
考虑完全停止 RDP
对于基于外部和内部的远程桌面访问,微软已采取措施确保其 RDP 服务尽可能安全。但仍然存在两方面的问题:
- 首先,并非每个组织都能确保所有端点的 RDP 安全。
- 其次,即使它是安全的,勒索软件团伙现在也在寻找零时差漏洞(并愿意为此支付七位数的金额),而 RDP 在几乎所有微软环境中的普遍存在,使其成为黑客的首要目标,他们想方设法利用广泛存在的 “商品 “应用程序。
转而采用安全、现代、具有细粒度控制功能的远程访问解决方案,可以大大降低风险。
启用安全性验证
多因素身份验证(MFA)仍然是防止远程访问滥用的最有效防御手段之一。要求使用智能卡、证书、验证器应用程序或硬件密钥等第二因素,可有效防止密码被盗,即使在凭证被泄露的情况下,也能防止未经授权的访问。
定期更新软件并打补丁
定期更新所有远程访问工具和软件并为其打补丁,是防止攻击者入侵的关键。未打补丁的系统是网络犯罪分子的首要目标,因此保持更新对保护网络至关重要。
教育和培训员工
投资网络安全培训,提高对远程访问相关风险的认识。对员工进行有关网络钓鱼和密码管理危险的培训,有助于降低凭证被盗和未经授权访问的可能性。
您可能也喜欢VNC 与 SSH: 为安全系统管理选择正确的远程访问协议.
趁早使用 RealVNC 加强远程访问安全性
网络安全战略必须不断发展,以反映当前的威胁形势。MITRE ATT&CK 等框架的存在正是出于这个原因–帮助组织与攻击者在真实环境中的运作方式保持一致。
远程访问仍将是勒索软件团伙的首要攻击目标,除非企业优先考虑安全性第一的配置,而不是生产力第一的便利性。
通过研究当今的攻击模式并实施上述建议,企业可以大大加强远程访问环境的安全性,减少内部和外部攻击面。
简而言之:确保远程访问的安全性不是可有可无的,而是避免安全性风险的基础。
现在是评估远程访问解决方案并确保其足以抵御当今威胁的时候了。
了解更多关于 RealVNC 安全的远程访问解决方案如何帮助保护您的网络免受勒索软件攻击并阻止未经授权的访问尝试的信息。
常见问题
下面是一些关于远程访问攻击的常见问题的答案。
什么是远程访问攻击?
当网络犯罪分子通过 RDP、VPN、SSH 或基于云的远程工具等远程访问方法未经授权进入系统或网络时,就会发生远程访问攻击。这些攻击通常涉及窃取凭证、网络钓鱼或利用未修补的漏洞。在许多情况下,攻击者会自动进行这些尝试,以大量暴露的系统为目标。
哪些漏洞与远程访问有关?
常见的漏洞包含: 配置错误的 RDP、弱密码或重复使用的密码、暴露的端点、过时或未打补丁的软件、不安全的个人设备以及不充分的身份验证控制。这些弱点为攻击者提供了轻松入侵网络的入口。
远程访问有哪三种主要类型?
远程访问的主要形式包含:
- Remote Desktop 协议 (RDP):RDP 使用广泛,但由于端口开放和凭证薄弱,经常成为攻击目标。
- 虚拟专用网络(VPN):虚拟专用网对流量进行加密,但如果遭到破坏,则可能成为单点故障。
- 基于云的远程访问解决方案:这些工具在很大程度上依赖于账户安全性和正确的 MFA 配置。
