據(jù)國(guó)外安全機(jī)構(gòu)報(bào)告稱，越來(lái)越多的黑客利用遠(yuǎn)程桌面協(xié)議(RDP)使用網(wǎng)絡(luò)隧道和基于主機(jī)的端口轉(zhuǎn)發(fā)來(lái)繞過(guò)網(wǎng)絡(luò)保護(hù)進(jìn)行攻擊。

眾所周知，RDP是Microsoft Windows組件， 遠(yuǎn)程桌面協(xié)議(RDP, Remote Desktop Protocol)是一個(gè)多通道(multi-channel)的協(xié)議，讓用戶(客戶端或稱“本地電腦”)連上提供微軟終端機(jī)服務(wù)的電腦(服務(wù)器端或稱“遠(yuǎn)程電腦”)。大部分的Windows都有客戶端都提供遠(yuǎn)程桌面所需軟件。其他操作系統(tǒng)也有相應(yīng)的客戶端軟件，如Linux、FreeBSD、MacOS X。服務(wù)端電腦方面，通過(guò)則監(jiān)聽TCP3389端口的數(shù)據(jù)，以建立遠(yuǎn)程連接。然而，技術(shù)本身是無(wú)善惡的，黑客一直將該技術(shù)用于邪惡的目的，并且這種趨勢(shì)繼續(xù)保持上升，另外利用RDP進(jìn)行攻擊，又不同于其他后門容易發(fā)現(xiàn)發(fā)現(xiàn)。

與非圖形后門相比，黑客更喜歡RDP的穩(wěn)定性和功能性優(yōu)勢(shì)，黑客使用本機(jī)Windows RDP實(shí)用程序，在受到破壞的環(huán)境中跨系統(tǒng)進(jìn)行橫向攻擊。 使用RDP遠(yuǎn)程訪問(wèn)的功能進(jìn)行攻擊，需要不同的攻擊向量用于初始攻擊(如網(wǎng)絡(luò)釣魚)。此外，為了攻擊受防火墻和NAT規(guī)則保護(hù)的非暴露在互聯(lián)網(wǎng)的系統(tǒng)，黑客越來(lái)越多地使用網(wǎng)絡(luò)隧道和基于主機(jī)的端口轉(zhuǎn)發(fā)進(jìn)行攻擊。允許攻擊者與被防火墻阻止的遠(yuǎn)程服務(wù)器建立連接，并濫用該連接作為傳輸機(jī)制，通過(guò)防火墻“隧道”偵聽本地服務(wù)，從而使遠(yuǎn)程服務(wù)器可以訪問(wèn)。

PuTTY Link或Plink是用于隧道RDP會(huì)話的一個(gè)實(shí)用程序，允許攻擊者與其他系統(tǒng)建立安全shell(SSH)網(wǎng)絡(luò)連接。由于許多IT環(huán)境要么不對(duì)協(xié)議進(jìn)行檢查，要么不阻止從其網(wǎng)絡(luò)出站的SSH通信，攻擊者可以使用該工具創(chuàng)建加密隧道并與命令和控制(C&C)服務(wù)器建立RDP連接。

黑客利用RDP會(huì)話在環(huán)境中還可以橫向移動(dòng)，進(jìn)行橫向攻擊，觀察到攻擊者可以使用本機(jī)Windows網(wǎng)絡(luò)外殼(netsh)命令結(jié)合使用RDP端口轉(zhuǎn)發(fā)進(jìn)行網(wǎng)絡(luò)發(fā)現(xiàn)。如，黑客可以配置跳轉(zhuǎn)框以偵聽任意端口，以便從先前控制的系統(tǒng)發(fā)送流量，流量將通過(guò)跳轉(zhuǎn)框直接轉(zhuǎn)發(fā)到分段網(wǎng)絡(luò)上的任何系統(tǒng)，使用任何指定的端口，包括默認(rèn)的RDP端口TCP 3389。 基于主機(jī)和基于網(wǎng)絡(luò)的預(yù)防和檢測(cè)機(jī)制應(yīng)該為組織提供減輕此類RDP攻擊所需的手段。

其中，在不需要使用遠(yuǎn)程桌面服務(wù)時(shí)將其禁用，啟用基于主機(jī)的防火墻規(guī)則以拒絕入站RDP連接，以及防止在工作站上使用RDP與本地帳戶有助于提高安全性。可以通過(guò)查看注冊(cè)表項(xiàng)、事件日志和其他信息有助于檢測(cè)此類攻擊。 網(wǎng)絡(luò)層面，管理員應(yīng)強(qiáng)制使用白名單策略進(jìn)行管理服務(wù)器啟動(dòng)RDP連接，防止特權(quán)帳戶用于RDP，查看防火墻規(guī)則以識(shí)別端口轉(zhuǎn)發(fā)漏洞，檢查網(wǎng)絡(luò)流量的內(nèi)容，以及設(shè)置Snort規(guī)則用于識(shí)別其網(wǎng)絡(luò)流量中的RDP隧道。

雖然，RDP使IT環(huán)境能夠?yàn)橛脩籼峁┖?jiǎn)便自由和互操作性。但隨著越來(lái)越多的黑客使用RDP跨系統(tǒng)進(jìn)行網(wǎng)絡(luò)橫向移動(dòng)攻擊，組織的安全團(tuán)隊(duì)正面臨著是如何破解合法使用和惡意RDP流量的挑戰(zhàn)。應(yīng)提高安全意識(shí)，采取基于主機(jī)和網(wǎng)絡(luò)的適當(dāng)預(yù)防和檢測(cè)方法來(lái)進(jìn)行主動(dòng)監(jiān)控。

[[256589]]

我們知道利用RDP攻擊只是進(jìn)入系統(tǒng)的途徑之一，而后續(xù)的攻擊或許會(huì)結(jié)合惡意加密病毒、惡意挖礦、竊取數(shù)據(jù)等等惡意手段，對(duì)系統(tǒng)與網(wǎng)絡(luò)進(jìn)行攻擊。如昨天寫的“GandCrab勒索病毒軟件和Ursnif病毒通過(guò)MS Word宏傳播”則是對(duì)勒索病毒展開的，結(jié)合最近國(guó)內(nèi)國(guó)際發(fā)生的網(wǎng)絡(luò)安全事件，故在臨近年關(guān)，每一個(gè)組織與單位甚至個(gè)人，都應(yīng)該提高安全意識(shí)，做好安全防護(hù)工作，開開心心過(guò)春節(jié)。