有一些东西如果你无法在谷歌上找到它,那么你一定能够在暗网找到。
暗网上的黑市并不仅仅以毒品买卖而闻名,同时它也是一个巨大的、隐蔽的网络。在这里,你可以买到任何你能够想象得到的东西——从色情、武器和假币,到黑客工具、漏洞利用、恶意软件和零日漏洞(zero-day)。
在暗网上有这样一个地下市场——RDP 商店(RDP Shop)。这是一个平台,任何人都可以从这里购买能够远程访问(使用RDP远程桌面协议)数千台被黑客攻陷的设备的凭证,而且只需支付很小的一笔费用。
在调查几家地下RDP商店时,迈克菲(McAfee)高级威胁研究团队的安全研究人员发现,有人正在以10美元的价格出售能够访问一家主要国际机场的安全系统的凭证。
是的,仅需10美元,中间没有漏掉任何一个“0”。
研究人员使用Shodan搜索引擎找到了被黑客攻陷的Windows Server计算机的实际IP地址,而不是通过购买RDP凭证。该计算机的管理员帐户正在被出售,如下图所示。
当研究人员通过Windows RDP登陆它的登录界面时,他们发现了另外两个用户账户,它们与两家专门负责机场安全的公司有关。其中一家涉及安全和楼宇自动化,而另一家涉及摄像机监控和视频分析。
根据研究人员的说法,黑市卖家通常只需要在互联网上扫描接受RDP连接的系统,就能获得RDP凭证,然后利用Hydra、NLBrute或RDP Forcer等流行工具发动暴力攻击以获取访问权限。
一旦成功登录到远程计算机,除了在暗网上出售连接细节之外,他们并不会进行其他操作。而购买凭证的任何买家都可以在网络中横向运动,创建后门、更改设置、安装恶意软件以及窃取数据。
作为解决方案,个人、企业或者其他组织机构应该考虑采取必要的RDP安全措施,例如:
- 禁用通过公共可用的网络对RDP连接的访问;
- 使用较复杂的密码和双因素身份验证,使暴力RDP攻击更加难以成功;
- 锁定那些登录尝试失败次数过多的用户,并阻止其IP。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
