导语:McAfee高级威胁研究(ATR)团队的分析人员最近发现了在全球范围内的暗网上有一种专门出售各种机构的RDP访问权限,且价格便宜到令人想象不到。
前言
McAfee高级威胁研究(ATR)团队的分析人员最近发现了在全球范围内的暗网上有一种专门出售各种机构的RDP访问权限,且价格便宜到令人想象不到。
虽然我们都知道有些被盗的数据,连同被破坏的系统、设备以及更多的信息,经常在暗网中被出售。但你知道吗,在暗网中,还存在一些专门销售某种权限的专卖店,比如RDP专卖店,根据调查,只需10美元,就可以在暗网上买一份机场安全系统的RDP访问权限。
你可能想知道,如果在RDP访问权限被攻击者获得,意味着什么?这就像Spotify(音乐服务平台)和Apple Music免费对大家开放歌曲的访问权,或者健身房出售对锻炼设备的访问权。暗网可以通过这些RDP商店出售对被黑客入侵的设备的远程访问权。一旦攻击者获得访问权,就可以获取受害者计算机系统的登录信息,并对其进行完全控制。
现在,McAfee ATR团队并不确定攻击者是如何得到这些系统的RDP访问权限,但是他们知道一旦像机场保安系统这样的东西被人得到,就会造成严重的危害。这种对RDP权限的访问可以让攻击者做他们想做的任何事,比如向内部安全团队创建虚假警报,发送垃圾邮件,窃取数据和凭证,挖掘加密货币,甚至对组织进行勒索软件攻击。
解密RDP商店及利用RDP进行的攻击
McAfee ATR团队同时对几个提供此类服务的暗网商店进行分析,研究人员发现,其中最大的一个RDP商店是来自俄罗斯的“UAS”(Ultimate Anonymity Service,终极匿名服务),它可以提供40000多个各行各业的RDP访问权限。
第二大RDP商店是BlackPass,它更像是一个杂货店,除了销售RDP访问权限外(只有10000多个),它还为黑客提供其他权限的服务。
其他的RDP商店还有Flyded和xDedic,其中xDedic是2016年6月卡巴斯基的专家发现的。根据目前掌握的资料来看,xDedic在2014年开始营业,在2015年中快速发展。xDedic可以向每个人提供服务,无论是入门级的网络罪犯还是APT组织都可以在这个地下黑市当中获取他们想要的资源信息,这使得人们进入合法化的服务器变得更加快速与便捷,xDedic主要进行贩卖的就是服务器。
目前许多攻击者以开始在攻击中越来越多地利用RDP权限传播恶意软件,例如前两年出现的SamSam勒索软件就是使用的是RDP进行传播。SamSam会对互联网上的电脑进行扫描,寻找开放的RDP连接。攻击者会通过暴力破解RDP来进行入侵,然后驻足网络,进一步传播。去年,网络安全公司Rapid7专家通过分析RDP端点的数据时就发现RDP在线暴漏逾了410万台Windows终端。
更令人意外的是,许多RDP都是以低于1美元的价格被卖掉的,其中大量系统的RDP权限,范围从Windows XP到Windows 10,而最为流行的是Windows 2008和2012 Server,且截止到发文时,已有11000个和6500个询价访问。
RDP访问因权限的不同价格也不一样,比如最低的普通访问权限是3美元,而要得到管理员访问权限,则需要19美元。另外,专家还发现了对运行Windows Embedded Standard(或Windows IOT)的系统的访问,这些访问权限包括位于荷兰的市政局、住房协会以及医疗机构等数百个具有相同配置的设备,目前这些权限在UAS和BlackPass都有售。另外全球范围内的多个政府系统也在出售,研究人员还在UAS Shop上找到一个新增的Windows Server 2008 R2系统访问权限,仅售价10美元,根据调查,这个Windows Server 2008 R2是配置于美国的一个大型国际机场中。调查还显示,该系统存在三个账户,其中一个是管理员账户,一个和专门从事机场安全和构建自动化相关的公司有关,另外一个和专门从事机场摄像头监控和视频分析公司有关。这种访问后果非常危险,因为该权限为攻击者提供了关键基础设施的切入点。
目前,McAfee团队还没有探索这些帐户的完整访问级别,但攻击可以通过使用Mimikatz(一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存)等工具达到攻击目的。
更令研究人员感震惊的是,利用这些权限,攻击者还可以通过相关的账号进入“机场的自动交通系统”,直接连接终端的客运系统。
虽然全球每年都花费数十亿美元的经费用在保护系统上,但残酷的现实告诉我们,这些关键的管理权限,在攻击者那里竟一文不值,用低廉的价格既可以获取高价值勒的猎物。有了这些权限,黑客不需要再高价购买零日漏洞,也不需要精心设计网络钓鱼活动或水坑攻击,直接买来权限即可为所欲为。
军用无人机文档仅售200美元
位于美国加州的Recorded Future公司还在暗网上发现黑客以150美元至200美元的价格出售敏感的美国空军文档资料。分析发现,黑客正是通过获军事基地的路由器权限才获得敏感文档的,而这些文档使用默认FTP登录设备进行文档分享。研究人员还通过进一步分析还发现了其它遭泄露的军事信息,包括源自一名姓名未透露的官员的军事文档、M1 ABRAMS坦克操作用户手册以及坦克排培训课程。
据Recorded Future称,黑客利用的正是两年前路由器中出现的认证漏洞。根据报道,目前内华达州克里奇空军基地还有4000多个路由器尚未更新其固件,因此被攻击一点也不例外。在获得网络访问权限后,黑客首先渗透到位于内华达州克里奇空军基地的某位飞机维修中队机长的计算机上,偷走了敏感文件的缓存信息,然后在感染其他设备。具有讽刺意味的是,这位机长最近刚刚完成了网络安全培训,但他还是没有为托管敏感文件的FTP服务器设置密码。
如何提供有力的安全保障
事实证明,即使是最先进的解决方案也无法在后门打开或仅带有简单的防护的情况下,提供有力的安全保障。所以要想避免自己的安防措施一文不值,最简单有效的办法就是关闭后门并提高防护能力,为了保护不受来自RDP商店的影响,请务必遵循以下建议:
1.选择要分享的内容,控制信息流向的最好方法是减少共享信息的来源。这意味着你不要向每个你需要的应用、网络或系统提供你的个人信息,只在对服务或体验至关重要的时候提供比较隐私的信息。
2.设置警报,泄漏的信息可能包括财务数据。因此,最好在你的信用卡上预先设置一个欺诈警报,以便对任何新的或最近的请求进行审查。这也使你有权获得额外的信用报告副本,以检查任何可疑的内容。如果你发现一个你没有开过的账户就可以关闭这个欺诈性的账户。
https://securingtomorrow.mcafee.com/consumer/consumer-threat-notices/airport-security-system-dark-web-rdp-shop/
https://securityaffairs.co/wordpress/74371/deep-web/rdp-access-dark-web.html
https://thehackernews.com/2018/07/dark-web-military-drone_11.html