用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    230

    主题

    230

    帖子

    1951

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2020-1-7 18:20:53 01300

    22.jpg

    近期,微软发布了一份关于RDP(远程桌面协议)暴力破解的深度分析,主要针对的是过去几个月所研究的45000台机器。

    这些攻击数据主要来自Microsoft Defender ATP的客户,涉及45000台拥有公网IP且打开了RDP端口,至少存在一个网络登录失败记录的机器。

    研究人员发现,平均每天有几百台机器疑似被RDP暴力攻击。

    此外,暴力破解平均持续2-3天,约90%的案例中攻击会持续1周或更少的时间,不到5%的案例会持续2周或更久。

    约0.08%的RDP暴力破解最后能够成功。

    33.png

    研究人员收集了失败和成功的RDP登录事件的详细信息,Windows事件编码分别为ID 4265和4264。研究人员还收集了正常用户/攻击者可能使用的用户名。

    为了不被发现,不少攻击者并不是持续高频率攻击,而是每天每小时只尝试几个组合,整体持续好几天。

    55.png

    66.png

    报告中表示:“在我们分析的被RDP暴力攻击的机器中,约有0.08%的机器被攻破。”

    “此外,经过几个月对所有企业的分析,平均每3-4天就有一台机器很大概率被RDP暴力破解攻陷。”

    据微软称,荷兰、俄罗斯和英国的在这些暴力破解中显得很“显眼”。

    44.png

    为了准确检测出服务器的RDP暴力破解流量,微软专家使用了多个指标:

    • 一周内和一天内登录RDP连接失败的次数

    • 登录失败后成功登录的时间

    • 事件ID 4625登录类型(针对网络和远程交互进行过滤)

    • 事件ID 4625失败原因(根据字段%%2308%%2312%%2313进行过滤)

    • 未能成功登录的不同用户名的累计数

    • 登录失败的累计数

    • 登录RDP的外部IP的累计数

    • 同一IP是否对多台机器进行RDP登录(统计登录数目)

    微软最后总结:“我们应该认真监控那些登录失败的活动,对整体网络的安全态势有一个较为清晰的认识,并以此为依据提供一个可持续的解决方案。”

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3820.html
    来源:https://securityaffairs.co/wordpress/96046/hacking/microsoft-rdp-brute-force-study.html
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册