背景

RDP(Remote Desktop Protocol)稱為“遠程桌面登錄協議”，即當某臺計算機開啟了遠程桌面連接功能后（在windows系統中這個功能是默認打開的），我們就可以在網絡的另一端控制這臺機器了。通過遠程桌面功能，我們可以實時地操作這臺計算機，在上面安裝軟件，運行程序，所有的一切都好像是直接在該計算機上操作一樣。

RDP攻擊就是利用RDP功能登錄到遠程機器上，把該遠程機器作為“肉雞”，在上面種植木馬、偷竊信息、發起DDOS攻擊等行為。要實現將遠程機器作為RDP肉雞，必須知道遠程機器的登錄密碼。所以常規方式是利用RDP協議來暴力破解遠程機器的密碼。

究其危害，我們以最近卡巴斯基實驗室報告的“地下市場兜售RDP肉雞的事件為例，在此次事件中我們發現一中招服務器即肉雞高達7萬+臺，波及173個國家，僅中國就有5000+臺，占此次事件中的第二位。

盡管類似事件并不少見，然而波及面之廣卻讓人震撼，因而此次事件也被整個業界關注。

此次事件一經爆發，即有用戶利用瀚思系統發現了端倪，本案例中涉及到國內某公安及某信息中心。

瀚思對Internet網的機器暴力破解相關企業機器的分析

瀚思系統采集了客戶環境中的安全設備日志，在本案例中主要是防火墻日志、IPS日志和主機日志。

在攻擊地圖（熱力圖）上，顯示了從外網對內網的遠程桌面攻擊：

瀚思系統對采集到的日志進行關聯分析，利用瀚思的可視化云圖很容易地發現從外網對內網的大量遠程桌面連接請求。

　　1. 攻擊的時間和空間分布圖

在以上云圖中，我們可以發現有許多Internet的機器在訪問某信息中心的機器的RDP端口（端口號是3389），總計約99萬次。涉及攻擊者的IP共1045個。

對IP的地理位置進行統計，國內IP是576個，占比55%，境外IP是469個，占比45%。對攻擊次數進行統計，國內IP產生的攻擊數占比86%，國外IP產生的攻擊數占比14%。

　　對境外的攻擊次數按國家進行比較：

同樣對于某公安的數據顯示在5/17~6/16內遭受48484次RDP攻擊，涉及的IP共211個。其中來源于境外的攻擊次數最多的國家也是韓國和美國。

2. 瀚思的威脅情報在發現攻擊的作用

對于攻擊某信息中心所涉及的1045個IP地址，瀚思的威脅情報顯示有428個在黑名單中，占比41%。

對于攻擊某公安所涉及的211個IP地址，瀚思的威脅情報顯示有123在黑名單中，占比58%。

其中有42個攻擊者IP在兩次攻擊中同時出現，瀚思的威脅情報顯示有31在黑名單中，占比74%。

　　3. 在暴力密碼破解時使用的用戶名統計

利用防火墻日志/IPS和日志與主機日志進行關聯分析，通過在遠程密碼暴力破解時常用的用戶名分布情況我們發現一共有1062個用戶名被使用來進行暴力破解。

　　Administrator/admin這兩個賬號占了72%；

包括了一些通用用戶名，比如guest，owner，test，user等；

包括了許多國外常用的用戶名，比如rob，dennis，bill，michelle等；

包括了一些繁體中文名，比如經紀，管理員，行政官員等。

下表是其中的一些摘要：

　　4. 防御措施

此次事件范圍之廣，數量之多，已經引起了各方廣泛的重視，那么暴力破解遠程機器防御措施有哪些？瀚思安全人員給出了如下建議：

在主機上停止不必要的“允許運程桌面連接”功能；

在防火墻上配置策略“阻止所有從外網連接內網的遠程桌面協議端口3（端口號3389）的請求”，對確有需要的RDP連接配置白名單；

對已經遭受攻擊的機器修改密碼，尤其是administrator/admin密碼。

瀚思在此次事件中能夠第一時間利用“安全易”SaaS產品和HanSight Enterprise幫助我們的用戶發現問題，并及時有效的抵擋防御事件的發酵。我們也將此次發現的攻擊者IP加入瀚思的TI威脅情報中，持續幫助更多的用戶來阻止此類事件的發生。