根據Coveware(專門提供遭勒索軟體綁架受害客戶之諮詢服務公司)於Q1所提供的報告指出這類受害者主要入侵管道以RDP(遠端桌面連線)占比達 63.5% 為最高,其次才是以電子郵件網路釣魚手法占比 30.4%,藉由軟體漏洞進行攻擊滲透的僅佔 6.1% 最低,顯見藉由IT常用的 RDP 服務已被駭客利用滲透進行勒索軟體綁架的最佳管道。
這新聞讓我想起數年前曾處理過的一家公司遭勒索病毒襲擊案件,就是透過RDP管道滲透入侵的,整個事件起因於該公司因無專職IT人員而將IT系統委外管理,為了方便工程師遠端維護而開啟RDP服務且防火牆設定開放外部所有來源IP都可使用該服務,再來則是RDP使用的帳號以administrator而非關閉此帳號另設一獨立帳號來運用,最後此帳號的密碼長度僅四個字元且沒有複雜性。這三個失誤導致駭客可以RDP來連線該公司的伺服器,並使用administrator而無需猜測登入帳號,最終花了數小時就成功破解密碼登入系統,將系統的重要資源全數以勒索軟體加密留下訊息給該公司。
RDP雖然方便讓IT人員得以獲得遠端協助,但也可能因管理失當導致遭駭產生損失,上述案例若能在帳號管理留意,且導入如AlienVault之智慧型安全威脅事件統合管理分析平台,就能在當駭客不斷猜錯管理員帳號之密碼事件初期發出告警並結合聯防功能自動攔截阻斷駭客的來源IP之暴力破密攻擊之行為,也可避免最終被成功滲透導致公司資源遭到勒索軟體襲擊造成嚴重損失。
詳文請見ithome 原文新聞稿