微软:0.08%的RDP暴力破解能够成功

iso60001  1735天前

22.jpg

近期,微软发布了一份关于RDP(远程桌面协议)暴力破解的深度分析,主要针对的是过去几个月所研究的45000台机器。

这些攻击数据主要来自Microsoft Defender ATP的客户,涉及45000台拥有公网IP且打开了RDP端口,至少存在一个网络登录失败记录的机器。

研究人员发现,平均每天有几百台机器疑似被RDP暴力攻击。

此外,暴力破解平均持续2-3天,约90%的案例中攻击会持续1周或更少的时间,不到5%的案例会持续2周或更久。

约0.08%的RDP暴力破解最后能够成功。

33.png

研究人员收集了失败和成功的RDP登录事件的详细信息,Windows事件编码分别为ID 4265和4264。研究人员还收集了正常用户/攻击者可能使用的用户名。

为了不被发现,不少攻击者并不是持续高频率攻击,而是每天每小时只尝试几个组合,整体持续好几天。

55.png

66.png

报告中表示:“在我们分析的被RDP暴力攻击的机器中,约有0.08%的机器被攻破。”

“此外,经过几个月对所有企业的分析,平均每3-4天就有一台机器很大概率被RDP暴力破解攻陷。”

据微软称,荷兰、俄罗斯和英国的在这些暴力破解中显得很“显眼”。

44.png

为了准确检测出服务器的RDP暴力破解流量,微软专家使用了多个指标:

  • 一周内和一天内登录RDP连接失败的次数

  • 登录失败后成功登录的时间

  • 事件ID 4625登录类型(针对网络和远程交互进行过滤)

  • 事件ID 4625失败原因(根据字段%%2308%%2312%%2313进行过滤)

  • 未能成功登录的不同用户名的累计数

  • 登录失败的累计数

  • 登录RDP的外部IP的累计数

  • 同一IP是否对多台机器进行RDP登录(统计登录数目)

微软最后总结:“我们应该认真监控那些登录失败的活动,对整体网络的安全态势有一个较为清晰的认识,并以此为依据提供一个可持续的解决方案。”

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/96046/hacking/microsoft-rdp-brute-force-study.html

最新评论

昵称
邮箱
提交评论