黑客是如何通过RDP远程桌面服务进行攻击的

企业每年在软件和硬件和防止外部网络攻击方面的投资花费有数十亿美元。在安全方面花的钱多就带面安全吗?这些企业无疑是搬起石头砸自己的脚。

Makost.net是一个主要贩卖服务器的论坛,主要是安装了windows系统并且可以使用微软的远程登录服务连接的服务器。Windows有自己的RDP内置接口,可以连接到任何一台连接internet并且有一个合法的外网IP,并且输入正确的用户名密码。连接后,就会看到远程计算机的桌面,就像你坐在他的计算机旁边一样,当然可以访问其所有的程序和文件。

Makost论坛通过CPU数量,操作系统版本和电脑的上传和下载速度来区别价格,价格范围从3刀-10刀+不等。

  Makost目前正在销售的主机数量超过6000。正如此图显示来看,黑客会根据服务器的不同而定价:
·市,州,国家;
·用户的权限;
·操作系统版本;
·计算机处理器速度;
·系统内存;
·网络下载和上传速度;
·NAT或者其他

KrebsOnSecurity看到里面一个非常活跃的用户的账户的服务,一个支付超过2000美元的人在过去的6个月购买约425黑RDPs。我把互联网地址在这个客户的购买历史,跑上WHOIS数据库查找它们,以了解更多关于受害者的组织。正如所料,大约四分之三的这些地址告诉我对受害者;地址被分配到住宅或商业互联网服务提供商。

我通过查找一个客户的购买记录的Internet地址,企图了解更多有关受害者的信息, 正如预期的那样,大约四分之三的地址是未知的,这些地址被分配到住宅或商业互联网服务提供商那里。这个名单上的最大群体是在制造业(21受害者)和零售服务(20)行业。

一份报告说:“使用第三方软件比如终端服(termserv)或远程桌面协议(RDP),pcAnywhere,虚拟网络客户端(VNC)远程访问应用程序时,如果这些程序是启用的,攻击者就可以访问它们,攻击者就像是合法的系统管理员。”

攻击者通过简单的扫描IP地址段,查询开放了某个端口的有哪些主机响应,一旦有开放的远程管理端口,就可以使用弱口令等弱点探测方式来进一步攻击。

读到这里,你应该很清楚黑客是如何使用rdp攻击的。像这样的兜售服务器的网站太多了,这些组织分工明确,行动很隐蔽。幸运的是,你的主机在收到外部端口扫描的时候会向你警报。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-01-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏携程技术中心

携程2015 Open House获奖项目:Gateway

Gateway Ctrip Tech 起因: 携程的无线发展和其他公司类似,经历了一个从弱势到强势的过程,这是市场决定的。最初的解决方案是集中式的,即有一个独立...

19410
来自专栏*坤的Blog

DNS线路

4.3K5
来自专栏大宽宽的碎碎念

初创公司如何避免服务器被攻击

1.1K5
来自专栏FreeBuf

序列化漏洞影响半数以上Android手机

Stagefright漏洞爆出没多久,Android平台又爆出一重大漏洞,影响55%的手机。IBM的X-Force应用安全研究团队近日发现了这一漏洞。 攻击者可...

2209
来自专栏ChaMd5安全团队

Shodan在渗透测试及漏洞挖掘中的一些用法

渗透测试中,第一阶段就是信息搜集,这一阶段完成的如何决定了你之后的进行是否顺利,是否更容易。而关于信息收集的文章网上也是有太多,但是你真的会用吗?...

61111
来自专栏安智客

ARM物联网Mbed os和Mbed uvisor学习指南

先来看一张图: ? 上图较好的阐述了ARM公司物联网操作系统Mbed与Mbed如何联动构成IOT应用示意图图。终端物联网设备上使用MbedOS和Mbed云客户...

3005
来自专栏技术杂文

你信任的公司正在窃取你的信息

通常来讲,“购买新产品” 指的是这样的交易过程:购买食物时,可以先确认食材然后购买它,即使难吃也不会要了你的命;购买汽车时,首先它得符合所有安全标准;为特定目的...

1193
来自专栏企鹅号快讯

由近20万“肉鸡”组成的僵尸网络PyCryptoMiner正疯狂开采门罗币

“用指尖改变世界” ? F5 Networks的安全研究人员已经发现了一个新的Linux加密僵尸网络并将其命名为“PyCryptoMiner”,它正在扩展到SS...

2808
来自专栏安智客

Google年度安全报告--8大潜在的恶意程序

最新Google年度安全报告中提到:2017年,从Google Play下载到有害应用程序的可能性比小行星撞击地球的可能性还要低。 安智客在空余时间将报告进行了...

4078
来自专栏FreeBuf

域名劫持事件发生后的应急响应策略

Morphus实验室讲述了这样一个故事,在某周六的早上,你作为一家大公司的CSO(首席安全官),突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的...

2456

扫码关注云+社区

领取腾讯云代金券