远程桌面软件允许员工连接到他们的计算机网络,而无需物理连接到主机设备,甚至无需连接到同一位置。这使其成为分布式或远程劳动力的有用工具。不幸的是,远程桌面软件也是网络攻击的主要目标。
实施远程桌面软件的 IT 团队面临的安全挑战之一是,有许多不同的可用工具,每个工具使用不同的(有时是多个端口)进行操作。端口是虚拟连接点,允许计算机区分不同类型的流量。使用多个端口可能会使 IT 安全团队更难以监控和发现恶意连接和后续入侵。
针对远程桌面软件最简单、最普遍的攻击方法是滥用弱、重复使用和/或网络钓鱼凭据。这些使攻击者可以立即访问用户有权访问的系统。远程桌面软件实施也可能容易受到软件错误利用和技术支持诈骗的影响。
在本文中,我们将介绍最常见的工具、相关端口以及攻击者可以获得访问权限的方式。
过去 12 个月最具针对性的远程桌面工具
虚拟网络计算 (VNC) - 端口 5800+、5900+
VNC 使用 RFB 协议,是一种广泛使用的独立于平台的工具。这允许用户和设备连接到服务器,而不管操作系统如何。VNC 被用作 Apple 远程桌面和屏幕共享解决方案等的基础软件。它还广泛用于关键基础设施行业,例如公用事业,这些行业越来越成为网络攻击的目标。
根据Barracuda数据来源,VNC是去年迄今为止最具针对性的远程桌面工具,占所有远程桌面特定端口流量的98%。
超过 99% 的攻击尝试针对 HTTP 端口,其余 1% 针对 TCP(传输控制协议)。这可能是因为用于访问网站的协议 HTTP 不需要特定的身份验证,与用于应用程序和设备之间的数据交换的 TCP 不同。
大多数观察到的针对 VNC 的攻击都试图暴力破解弱密码和重复使用的密码。最常见的攻击目标是 CVE-2006-2369,该漏洞允许攻击者绕过已有 18 年历史的 RealVNC 4.1.1 中的身份验证。
VNC 包含多种软件产品,每种软件在特性和功能方面可能略有不同。有些密码有 8 个字符的限制,这使得攻击者更容易破解密码以获取访问权限。默认情况下,VNC 流量不加密,但某些解决方案使用安全 shell、SSH 或 VPN 隧道来加密流量,这有助于增强安全性。
VNC 可以使用一系列端口。TCP 连接的基本端口为 5800,HTTP 连接的基本端口为 5900,但在基本端口中添加了显示器编号(在规范中称为 N),以允许连接到不同的显示器。物理显示为 0,映射到基本端口,但连接和攻击也可以利用更高的端口号。从安全角度来看,这使事情变得复杂,因为没有像其他远程桌面解决方案那样需要考虑一两个严格定义的端口。
攻击的地理来源很难准确确定,因为许多攻击者使用代理或 VPN 来掩饰其真实来源。
远程桌面协议 - 端口 3389
RDP 是 Microsoft 创建的一种相对常见的专有协议,用于远程桌面使用。去年我们检测到的针对远程桌面工具的攻击尝试中,RDP 约占 1.6%。然而,针对网络和数据的较大攻击更有可能涉及 RDP,而不是 VNC。
RDP 攻击通常用于部署 恶意软件(最常见的是 勒索软件或加密挖矿程序),或利用易受攻击的机器作为 DDoS 攻击的一部分。
大约六分之一 (15%) 的攻击尝试涉及过时的 cookie。这可能是一种故意的策略,旨在帮助攻击者识别较旧的、因此可能更容易受到攻击的 RDP 软件版本,以进行其他攻击。
与其他远程桌面服务一样,RDP 主要针对基于凭据的攻击。然而,多年来报告了一些严重的漏洞,这些漏洞可以在目标系统上实现远程代码执行(RCE)。一些值得注意的漏洞包括 CVE-2018-0886,它影响了用于 RDP 身份验证的凭证安全支持提供程序 ( CredSSP );CVE-2019-0708,也称为 BlueKeep,能够变成蠕虫病毒(尽管尚未报告野生蠕虫病毒);CVE-2019-0887,它为攻击者提供了一种逃避 Hyper-V 虚拟机实例以访问虚拟机管理程序的方法。
攻击者还可能使用 RDP 来获取可管理工作站的更高权限帐户的密码哈希值。这可能是针对启用了 RDP 服务器的系统的攻击的一部分,或者是通过在攻击者已经受到危害的系统上启用 RDP 来实现权限升级。
然而,尽管存在这些潜在的高风险 RCE 漏洞,但观察到的针对 RDP 的大多数利用尝试都是拒绝服务漏洞,占观察到的流量的 9%。
RDP 还用于 Microsoft 支持 语音钓鱼(语音/电话网络钓鱼)攻击 ,这些攻击旨在通过让目标相信其计算机存在技术问题来欺骗用户,如果启用并授予 RDP 访问权限,攻击者可以修复这些问题。还有一个地下市场,出售易受攻击或破解的 RDP 实例,供其他攻击者根据需要使用,每个实例通常售价数美元。
数据表明,大多数针对 RDP 的攻击尝试源自北美(约占攻击的 42%),其次是中国和印度,尽管如上所述,使用代理或 VPN 可能会混淆实际的攻击源。
TeamViewer - 端口 5938
针对 TeamViewer 的攻击占我们数据源覆盖的所有远程桌面端口恶意流量的 0.1%。检测到的少数攻击涉及 Log4Shell 漏洞,并且似乎针对该工具的中央管理中心 Frontline Command Center,这似乎是唯一使用 Java 的 TeamViewer 应用程序。
TeamViewer 的最新版本旨在供企业使用以及与 Microsoft Teams、Salesforce 和 ServiceNow 等集成。作为企业产品,TeamViewer 提供更多安全功能,例如设备指纹识别、自动生成的凭据(防止弱密码或重复使用的密码)、错误凭据的指数退避(每次使用不正确的凭据时,等待时间呈指数增加,从而防止暴力破解)强制攻击)和多因素身份验证(MFA)。TeamViewer 客户端和服务器之间的所有流量也都经过加密以增强安全性。
然而,尽管有这些保护措施,TeamViewer 有时仍会被用于攻击或成为攻击的目标。这通常是由于网络钓鱼或不安全地共享凭据造成的。TeamViewer 有时也用于技术支持诈骗。
除了端口 5938 之外,TeamViewer 还可以使用端口 80 和 443,这可以使安全团队更难以检测网络上的恶意连接。
独立计算架构 (ICA) - 端口 1494、2598
ICA 是 Citrix 创建的远程桌面协议,作为 RDP 的替代方案,尽管使用 ICA 的 Citrix 解决方案通常也支持 RDP。端口 1494 用于入站 ICA 连接。ICA 还可以封装在 Citrix 的通用网关协议中,该协议使用端口 2598。过去的一些 ICA 客户端版本存在 RCE 漏洞。一个更常见的 RCE 漏洞 CVE-2023-3519 也影响了 ICA 代理,攻击者利用该漏洞在受影响的系统上创建 Web shell。
AnyDesk - 端口 6568
AnyDesk 是另一种远程桌面解决方案,已用于技术支持诈骗以及移动银行客户服务诈骗。AnyDesk 在 2018 年被捆绑到一些勒索软件变体中,可能是为了迷惑恶意软件检测系统,让其无法识别恶意软件的真正目的。除了6568端口外,还可以使用80或443端口。
Splashtop Remote - 端口 6783
虽然 Splashtop Remote 在远程桌面解决方案中尝试攻击流量最少,但它已被用于支持诈骗。它还可能因使用弱、重复使用或网络钓鱼凭据而受到损害。
能够发现网络中可疑端口流量的深度防御安全解决方案至关重要。这应该辅之以强大的安全策略和计划,例如限制有需要的人访问远程服务、使用 VPN 等安全连接以及定期使用最新补丁更新软件。身份验证方法应包括使用强密码,至少采用多因素身份验证 (MFA),最好转向零信任方法。
在整个组织内标准化特定的远程桌面解决方案将使 IT 团队能够将资源集中在管理、监控和保护关联端口、阻止其他流量上。
扫一扫
1156
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
