RDP暴力破解
RDP(Remote Desktop Protocol)称为“远程桌面登录协议”,即当某台计算机开启了远程桌面连接功能后(在windows系统中这个功能是默认打开的),我们就可以在网络的另一端控制这台机器了。通过远程桌面功能,我们可以实时地操作这台计算机,在上面安装软件,运行程序,所有的一切都好像是直接在该计算机上操作一样。
RDP攻击就是利用RDP功能登录到远程机器上,把该远程机器作为“肉鸡”,在上面种植木马、偷窃信息、发起DDOS攻击等行为。要实现将远程机器作为RDP肉鸡,必须知道远程机器的登录密码。所以常规方式是利用RDP协议来暴力破解远程机器的密码。
GandCrab病毒自身不具备蠕虫传播特征,传播途径主要RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。
病毒采用Salsa和RSA-2048算法对文件进行加密,并修改后缀为 .GDCB、.GRAB、.KRAB或5到10位随机字母,同时勒索软件还会更换系统桌面提示勒索信息。
随机后缀名
防护建议
尽量避免RDP端口对外开放,利用IPS、防火墙等设备对RDP端口进行防护;
开启windows系统防火墙,通过ACL等方式,对RDP及SMB服务访问进行加固;
通过windows组策略配置账户锁定策略,对短时间内连续登陆失败的账户进行锁定;
加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况;
修改系统管理员默认用户名,避免使用admin、administrator、test等常见用户名;
安装具备自保护功能的防病毒软件,并及时更新病毒库或软件版本;
加强员工安全意识培训,不轻易打开陌生邮件或运行来源不明的程序;
及时更新操作系统及其他应用高危漏洞安全补丁;
定时对重要业务数据进行备份,防止数据破坏和丢失。
