是時候斷開RDP與Internet的連線了

轉自welivesecurity，作者Aryeh Goretsky，藍色摩卡譯，

合作站點轉載請註明原文譯者和出處為超級盾！

到目前為止，儘管BlueKeep（CVE-2019-0708）漏洞尚未引起廣泛的破壞，我們將在這篇文章中探討其原因，

但該漏洞尚處於被研究瞭解的早期。

事實仍然是，

許多系統仍未打補丁，並且仍可能找到該漏洞的完全可蠕蟲版本

。由於這些因素，ESET建立了免費的實用程式來檢查系統是否易受攻擊。

什麼是RDP？

RDP是“遠端桌面協議”的縮寫

，它允許一臺計算機透過網路連線到另一臺計算機，以便遠端使用它。

在域中，執行Windows Client作業系統，例如Windows XP或Windows 10的計算機預裝有RDP客戶端軟體作為作業系統的一部分，這

使它們可以連線到網路上的其他計算機，包括組織的伺服器。

在這種情況下，與伺服器的連線意味著它可以

直接與伺服器的作業系統相連，也可以與該伺服器上虛擬機器內部執行的作業系統相連。

透過該連線，人們可以開啟目錄，下載和上傳檔案以及執行程式，

就像使用連線到該伺服器的鍵盤和監視器一樣。

攻擊者如何使用RDP？

在過去的幾年中，ESET看到了越來越多的事件，攻擊者使用RDP從

Internet遠端連線到Windows Server並以計算機管理員的身份登入。

一旦攻擊者以管理員身份登陸伺服器，他們通常將進行一些偵察以確定該伺服器用於什麼，由誰使用以及何時使用。知道他們

可以控制的伺服器型別，他們就可以開始執行惡意操作

。我們看到的常見惡意活動包括：

清除包含其在系統上存在證據的日誌檔案

禁用計劃的備份和卷影副本

禁用安全軟體或在其中設定排除項（管理員允許）

將各種程式下載並安裝到伺服器上

擦除或覆蓋舊備份（如果可以訪問）

從伺服器中竊取資料

這不是攻擊者可以做的所有事情的完整列表，攻擊者也不一定要執行所有這些活動。

如果攻擊者有預定的議程，攻擊者可能會在幾天之內多次聯絡，也可能只有一次。雖然攻擊者將執行的操作的確切性質差異很大，但最常見的兩個是：

安裝硬幣開採程式以生成 加密貨幣，例如Monero，

安裝勒索軟體以勒索組織的金錢，

通常使用諸如比特幣之類的加密貨幣支付。

在某些情況下，如果發現並終止了他們的RDP活動，

攻擊者可能會安裝其他遠端控制軟體來維護對受感染伺服器的訪問（進行後續的持續性攻擊）。

宣告：我們尊重原創者版權，除確實無法確認作者外，均會註明作者和來源。轉載文章僅供個人學習研究，同時向原創作者表示感謝，若涉及版權問題，請及時聯絡小編刪除！

精彩在後面

Hi，我是超級盾

超級盾能做到：防得住、用得起、接得快、玩得好、看得見、雙向資料加密！