GreyNoise havaitsee 100K IP Botnet -hyökkäävät RDP -palvelut

Laajamittainen kampanja on suunnattu etäpöytäprotokollan (RDP) palveluihin Yhdysvalloissa hyödyntäen yli 100 000 IP-osoitteen bottiverkkoa. Aktiviteetti alkoi 8. lokakuuta, ja Uhkien seurantaalustan tutkijat uskovat hyökkäysten olevan peräisin monen maan botnetistä. RDP on verkkoprotokolla, joka mahdollistaa Windows -järjestelmien etäyhteyden ja hallinnan, jota järjestelmänvalvojat, avustushenkilöstö ja etätyöntekijät yleensä käyttävät. Hyökkääjät skannaavat usein avoimia RDP-portteja raa’an voiman kirjautumisen, hyödyntämisen tai muiden hyökkäysten suorittamiseksi. GreyNoise-tutkijat havaitsivat, että bottiverkko käyttää kahta erityistä RDP: hen liittyvää hyökkäysmenetelmää. Ensimmäinen on RD: n verkkokäyttöhyökkäys, jossa BotNet -koetukset päätepisteet ja mittaa eroja palvelimen vasteaikoissa nimettömän todennuksen aikana päätelläkseen kelvolliset käyttäjätunnukset. Toinen menetelmä on RDP Web Client Login -luettelo, joka on vuorovaikutuksessa kirjautumisprosessin kanssa käyttäjätilien tunnistamiseksi tarkkailemalla erilaisia palvelinkäyttäytymisiä ja vastauksia. Kampanja havaittiin ensin Brasiliasta peräisin olevan liikenteen epätavallisen piikin seurauksena. Myöhemmin syntyi aktiviteetti muista maista, mukaan lukien Argentiina, Iran, Kiina, Meksiko, Venäjä, Etelä -Afrikka ja Ecuador. GreyNoisen mukaan botnet -muodostavat vaaranneet laitteet sijaitsevat yli 100 maassa. Tekninen analyysi paljasti, että melkein kaikilla hyökkäävillä IP -osoitteilla on yhteinen TCP -sormenjälki. Suurimmassa segmentin koon pienissä variaatioissa uskotaan johtuvan bottiverkon erilaisista klustereista. Tämän uhan lieventämiseksi GreyNoise suosittelee, että järjestelmänvalvojat estävät tunnistetut hyökkäävät IP -osoitteet ja tarkistavat järjestelmälokit epäilyttävien RDP -koettelemusten merkkejä varten. Turvallisuuden parhaana käytännönä organisaatioita kehotetaan olemaan paljastamatta RDP -palveluita suoraan julkiselle Internetille. Virtuaalisen yksityisen verkon (VPN) toteuttaminen ja monitektorien todennuksen (MFA) vaatiminen voi tarjota ylimääräisiä suojakerroksia tällaisilta hyökkäyksiltä.

Source: GreyNoise havaitsee 100K IP Botnet -hyökkäävät RDP -palvelut

GreyNoise havaitsee 100K IP Botnet -hyökkäävät RDP -palvelut

Related Stories

Microsoft julkistaa Surface RTX Spark Dev Boxin edistyneille tekoälytyökuormille

X käynnistää ”React with Video” -ominaisuuden iOS-käyttäjille

Microsoft julkistaa Project Solaran seuraavan sukupolven agentti-ensimmäisille laitteille

Google julkaisee kesäkuun Android-päivityksen uusilla turvallisuus- ja jakamisominaisuuksilla