远程桌面协议主要用于用户远程连接和控制计算机,通常使用3389端口进行通信。用户输入正确的用户密码时,可以直接操作远程计算机,为攻击者提供了新的攻击面。只要你有正确的证书,任何人都可以登录电脑。因此,攻击者可以通过工具扫描攻击目标的端口,如果用户打开3389端口,没有相关的防范意识,则可以使用123456等弱密码,攻击者可以远程连接,通过字典尝试多种方法组合,暴力破解用户名密码。拥有登录权限,可直接投入恐吓病毒,进一步横向渗透扩大影响面。下图为大家展示了2020年度最新排名前十的弱密码:
漏洞是硬件、软件、协议的具体实现或系统安全战略存在的缺陷,可以使攻击者在未经许可的情况下访问或破坏系统。脆弱性的利用与时间有关,攻击者利用0day进行攻击时,相关系统和部件非常危险。但而,在过去的恐吓事件中,大多数攻击者通常使用成熟的脆弱性工具进行攻击,如永恒的蓝色、RIG、GrandSoft等脆弱性攻击包。如果用户没有及时修复相关漏洞,很可能会受到攻击。
在过去的一年里,受疫情的影响,很多人开始在家工作,由于工作方式的变化促进了远程办公工具的兴起,远程工具相关脆弱性利用攻击事件的显着增加,除了传统的office脆弱性(CVE2016-0158、CVE2017-12683等)外,一些新的脆弱性利用攻击也频繁出现。比如CVE-2020-194196、CVE-2020-11320等。
威胁软件进入用户环境后,为了尽可能扩大影响,不直接加密的可能性很高,而是通过感染机渗透其他机器,提高权限,盗取更有价值的证明书。横向移动攻击可获得域控制权限,获得控制域环境下的所有机器。赎金额和恐吓成功率都大幅度提高。其主要方式包括:1.使用PsExec等工具。比如,WastedLocker恐吓软件通过入侵系统后,通过psexec等命令横向渗透,寻找价值高的系统进行加密,psexec-s cmd。
比如,Conti恐吓软件通过wmic远程执行命令,收集域密码,横向渗透,利用IPC$或默认共享,比如makop通过共享资源加密。着名的WanaCry威胁病毒通过永恒的蓝洞和445端口在网上传播。
正如之前所说,现在的恐吓软件不是功能单一的恐吓,而是与僵尸网络、秘密木马等其他恶意软件合作发起攻击。偷窃用户敏感的数据,威胁。另外,对目标的攻击更加明确,利用的工具也多为定制工具。Nozelesn恐吓软件利用Emotet僵尸网络发布,Locky恐吓软件利用Necurs僵尸网络发布垃圾邮件,Ruyk利用Trickbot木马发布,窃取用户信息。