- A+
网络隧道技术越来越多地用于使用RDP的攻击者
远程桌面协议 (RDP)是一个Windows组件,旨在为管理员和用户提供其系统的远程访问路径。 根据国际网络安全研究所的网络安全和道德黑客攻击报告,恶意黑客一直在滥用此功能来攻击易受攻击的系统,因为有时这种攻击比后门更难以发现。
“恶意用户因其在后门的稳定性和功能而使用RDP。 我们发现黑客使用Windows RDP的本机功能通过受损环境中的系统进行横向连接,“专家评论道。
根据网络安全专家的说法,通过RDP访问系统允许攻击者获得持久性,尽管它依赖于额外的攻击媒介来进入受感染的系统,例如网络钓鱼攻击。 此外,攻击者越来越多地使用“网络隧道”和基于主机的端口转发。
因此,攻击者可以建立与防火墙阻止的远程服务器的连接,以利用该连接并将其用作通过防火墙“挖掘隧道”到本地服务的传输方式。
用于引导RDP会话的实用程序是Putty Link或Plink,它允许攻击者与其他系统建立SSH连接。 据网络安全专家称,由于许多环境不检查协议或阻止退出其网络的SSH通信,因此攻击者可以使用该工具创建加密隧道并与C&C建立RDP连接。
另一方面,RDP会话还允许攻击者在环境中横向移动; 攻击者可以使用Windows( netsh )中的本机网络Shell命令来使用RDP端口转发来发现分段网络。
专家说,主机和基于网络的预防和检测机制必须为组织提供必要的防御措施,以减轻这类攻击。
此外,在不使用时禁用RDP,在主机上启用防火墙规则以禁止传入的RDP连接是加强风险防范的有用提示。
另一方面,在网络级别,管理员必须强制执行来自指定邮箱或中央管理服务器的RDP连接,避免使用RDP的特权帐户,修改防火墙规则以识别端口转发漏洞并检查网络流量的内容。
