4月26日訊 被稱為專屬于黑客的e-Bay平臺，暗網最大、最具破壞力的黑市xDedic上，經常有各路網絡犯罪分子在這上面售賣RDP服務器的訪問權限，政府和企業近期提高警惕了。

6個月之前，商業風險情報公司Flashpoint發現，xDedic黑市在售賣包含8.5萬余個組織機構信息的數據集。

各單位注意!8.5萬臺服務器RDP權限正在地下黑市xDedic售賣-E安全

網絡犯罪分子通過xDedic購買被攻擊的遠程桌面協議(Remote Desktop Protocol，RDP)服務器的訪問權，這些服務器為入侵在線系統提供了便捷方式，尤其具有遠程IT人員的公司。

E安全小編注：RDP是Microsoft的專用協議，允許用戶連接至網絡上的其它設備，幫助管理員遠程控制服務器和PC。

Flashpoint研究總監維塔利-科瑞米茲表示，該公司已經持續觀察xDedic兩年以上。自2014年xDedic一直在運作，入侵企業的RDP服務器，并在網上轉售登錄憑證的網絡犯罪分子中間建立了聲譽。

設置弱口令的服務器最易遭到攻擊

科瑞米茲解釋稱，黑客首先會掃描網絡尋找連接到Microsoft遠程桌面協議的特定接口，從而獲得RDP訪問權限。識別具有開放端口的服務器后，黑客強力測試用戶名和密碼，直到用戶名和密碼匹配。

一旦取得訪問權限，黑客便會在黑市出售服務器，并升級管理員權限。任何購買登錄憑證的買家都可以進入企業網絡，從而竊取數據，升級權限，發起外部攻擊，部署勒索軟件，植入惡意軟件，操控網絡設置，并接管賬號。

科瑞米茲指出，這種入侵策略對于設置簡短、低復雜度的弱口令的服務器最有效。那么這對強密碼就無效么?當然不是!大型僵尸網絡仍然可以幫助攻擊者獲取RDP訪問權限。

為什么醫療和教育行業最易遭到攻擊?

科瑞米茲解釋了威脅攻擊者“thedarkoverlord”(因入侵保健機構而臭名昭著)如何使用這類數據集展開攻擊。醫療保健行業是遭遇攻擊較為頻繁的行業之一，其原因在于醫療行業通常開放RDP的訪問權，而這可以為網絡犯罪分子提供有價值的數據。

該公司調查了醫療保健行業遭遇的數據泄露事件，他們注意到大量醫院因暴露的RDP服務器遭遇入侵。

包含超過8.5萬個服務器信息的數據集體現了受黑客歡迎的目標行業。據分析，最易被利用的行業為：教育、醫療保健、法律、航空和政府。遭遇黑客攻擊最頻繁的國家為美國、德國和烏克蘭。

各單位注意!8.5萬臺服務器RDP權限正在地下黑市xDedic售賣-E安全

科瑞米茲指出，相比較而言，教育行業最不安全，最易遭受攻擊。黑客通過暴力攻擊極易入侵大學的網絡。由于大學和醫療保健機構都具有信息共享機制，借此他們可以共享攻擊相關信息，并改進信息安全程序。

科瑞米茲認為，xDedic黑市帶來的威脅將繼續增加，尤其“影子經紀人”(Shadow Brokers)最近曝光一系列NSA黑客工具之后。如果網絡犯罪繼續開發工具，并利用曝光文件中的漏洞利用，一旦將訪問權擴散到其它網絡，破壞性會更大。這些漏洞利用的影響力雖然不及零日漏洞，但仍具危險性。

E安全小編建議企業：

禁止外部訪問服務器

保持適當的訪問控制

經常修改密碼

設置復雜的強密碼

雖然部署在線可用的服務器(遠程桌面網關服務器等)為技術人員帶來便利，但其危險性不容忽視，因為網絡犯罪分子通常會試圖通過外部可訪問RDP服務器強力獲取訪問權限。