微软:0.08%的RDP暴力破解能够成功

admin 2021年12月3日13:35:37cnnvd_news评论12 次浏览阅读模式

       近期,微软发布了一份关于RDP(远程桌面协议)暴力破解的深度分析,主要针对的是过去几个月所研究的45000台机器。

       这些攻击数据主要来自Microsoft Defender ATP的客户,涉及45000台拥有公网IP且打开了RDP端口,至少存在一个网络登录失败记录的机器。

       研究人员发现,平均每天有几百台机器疑似被RDP暴力攻击。

此外,暴力破解平均持续2-3天,约90%的案例中攻击会持续1周或更少的时间,不到5%的案例会持续2周或更久。

       约0.08%的RDP暴力破解最后能够成功。

       研究人员收集了失败和成功的RDP登录事件的详细信息,Windows事件编码分别为ID 4265和4264。研究人员还收集了正常用户/攻击者可能使用的用户名。

       为了不被发现,不少攻击者并不是持续高频率攻击,而是每天每小时只尝试几个组合,整体持续好几天。

       报告中表示:“在我们分析的被RDP暴力攻击的机器中,约有0.08%的机器被攻破。”

       “此外,经过几个月对所有企业的分析,平均每3-4天就有一台机器很大概率被RDP暴力破解攻陷。”

       据微软称,荷兰、俄罗斯和英国的在这些暴力破解中显得很“显眼”。

为了准确检测出服务器的RDP暴力破解流量,微软专家使用了多个指标:

       • 一周内和一天内登录RDP连接失败的次数

       • 登录失败后成功登录的时间

       • 事件ID 4625登录类型(针对网络和远程交互进行过滤)

       • 事件ID 4625失败原因(根据字段%%2308,%%2312,%%2313进行过滤)

       • 未能成功登录的不同用户名的累计数

       • 登录失败的累计数

       • 登录RDP的外部IP的累计数

       • 同一IP是否对多台机器进行RDP登录(统计登录数目)

       微软最后总结:“我们应该认真监控那些登录失败的活动,对整体网络的安全态势有一个较为清晰的认识,并以此为依据提供一个可持续的解决方案。”

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月3日13:35:37
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_news/2021/12/03/627.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: