RDP ( ) 桌面遠(yuǎn)程傳輸協(xié)議是一種多通道協(xié)議，允許用戶(hù)連接到提供 終端服務(wù)的計(jì)算機(jī)。使用的遠(yuǎn)程數(shù)據(jù)傳輸協(xié)議是RDP（數(shù)據(jù)）可靠數(shù)據(jù)協(xié)議。因?yàn)樗哪J(rèn)端口是3389，所以在網(wǎng)絡(luò)工程師的口中被親切地稱(chēng)為“3389”。簡(jiǎn)單來(lái)說(shuō)，通過(guò)3389端口遠(yuǎn)程連接，讓你可以像操作自己的電腦一樣操作千里之外的電腦，隨心所欲。

美國(guó)網(wǎng)絡(luò)犯罪報(bào)告中心 (IC3) 與湖北 IT 公司 (DHS) 和聯(lián)邦調(diào)查局 (FBI) 合作，發(fā)布了有關(guān)可通過(guò)遠(yuǎn)程桌面協(xié)議 (RDP) 進(jìn)行的攻擊的安全警報(bào)。美國(guó)應(yīng)急響應(yīng)小組表示，攻擊者可能會(huì)破壞暴露的 RDP 服務(wù)以進(jìn)行企業(yè)盜竊、安裝后門(mén)或作為其他攻擊的跳板。（跳板，簡(jiǎn)單來(lái)說(shuō)，就是隱藏你的地址服務(wù)器運(yùn)維技術(shù)，讓別人找不到你的位置。） “

“黑客已經(jīng)找到了識(shí)別和利用互聯(lián)網(wǎng)上易受攻擊的 RDP 會(huì)話(huà)來(lái)危害他人、竊取登錄憑據(jù)和勒索其他敏感信息的方法。聯(lián)邦調(diào)查局和國(guó)土安全部 (DHS) 建議企業(yè)和一些個(gè)體經(jīng)營(yíng)者應(yīng)該及時(shí)檢查其網(wǎng)絡(luò)上允許的遠(yuǎn)程訪(fǎng)問(wèn)并采取預(yù)防措施，例如在不需要遠(yuǎn)程訪(fǎng)問(wèn)時(shí)禁用 RDP?！?/p>

多年來(lái)，有很多人在黑市上出售被黑的遠(yuǎn)程桌面帳戶(hù)?，F(xiàn)在這筆交易仍在進(jìn)行中。

據(jù)藍(lán)盟IT外包統(tǒng)計(jì)，2020年上半年以來(lái)，80%的被勒索軟件攻擊的中小企業(yè)，最致命的漏洞是“3389”端口。簡(jiǎn)單來(lái)說(shuō)，“3389”端口是IT運(yùn)維人員遠(yuǎn)程管理內(nèi)網(wǎng)計(jì)算機(jī)的一種便捷方式。無(wú)需額外安裝軟件，只要開(kāi)啟操作系統(tǒng)自帶的遠(yuǎn)程桌面服務(wù)，即打開(kāi)操作系統(tǒng)的3389端口即可。方便遠(yuǎn)程操作和日常運(yùn)維工作。如果想在外網(wǎng)操作企業(yè)內(nèi)網(wǎng)的服務(wù)器，只需通過(guò)網(wǎng)關(guān)設(shè)備（路由器或防火墻）將服務(wù)器的3389端口發(fā)布到公網(wǎng)地址即可，即 只需連接企業(yè)公網(wǎng)地址的3389端口即可。您可以直接在企業(yè)內(nèi)網(wǎng)上遠(yuǎn)程操作相應(yīng)的服務(wù)器設(shè)備。

既然“3389”這么好用，一些IT運(yùn)維人員為了方便，會(huì)在網(wǎng)上公布重要服務(wù)器的3389端口，以便隨時(shí)操作，但安全性和方便性往往是矛盾的。遠(yuǎn)程管理還有助于黑客進(jìn)行遠(yuǎn)程攻擊。黑客可以通過(guò)密碼爆破在3389端口上暴力破解服務(wù)器的管理員密碼（暴力猜測(cè)是暴力破解的方法，暴力破解的基本思路是根據(jù)一些條件確定答案的大概范圍題，并在此范圍內(nèi)逐一驗(yàn)證所有可能的情況，直到所有情況都被驗(yàn)證。如果驗(yàn)證后所有條件都不滿(mǎn)足問(wèn)題的所有條件，則該問(wèn)題無(wú)解。運(yùn)維人員沒(méi)有更改管理員的默認(rèn)賬號(hào)名（最常見(jiàn)的情況是管理員帳號(hào)密碼會(huì)在半天內(nèi)更改。黑客通過(guò)遠(yuǎn)程連接“3389”爆破！接下來(lái)是勒索軟件即服務(wù) (RaaS)、中毒、加密和橫向傳播的常規(guī)例程。. . . . . . s 默認(rèn)賬戶(hù)名（ ），密碼可以是弱密碼（長(zhǎng)度小于10個(gè)字符，不包含大小寫(xiě)字母和數(shù)字等特殊字符）。最常見(jiàn)的情況是管理員帳號(hào)密碼會(huì)在半天內(nèi)更改。黑客通過(guò)遠(yuǎn)程連接“3389”爆破！接下來(lái)是勒索軟件即服務(wù) (RaaS)、中毒、加密和橫向傳播的常規(guī)例程。. . . . . . s 默認(rèn)賬戶(hù)名（ ），密碼可以是弱密碼（長(zhǎng)度小于10個(gè)字符，不包含大小寫(xiě)字母和數(shù)字等特殊字符）。最常見(jiàn)的情況是管理員帳號(hào)密碼會(huì)在半天內(nèi)更改。黑客通過(guò)遠(yuǎn)程連接“3389”爆破！接下來(lái)是勒索軟件即服務(wù) (RaaS)、中毒、加密和橫向傳播的常規(guī)例程。. . . . . . 接下來(lái)是勒索軟件即服務(wù) (RaaS)、中毒、加密和橫向傳播的常規(guī)例程。. . . . . . 接下來(lái)是勒索軟件即服務(wù) (RaaS)、中毒、加密和橫向傳播的常規(guī)例程。. . . . . .

可以說(shuō)，對(duì)外發(fā)布的“3389”確實(shí)是勒索病毒攻擊中小企業(yè)的必經(jīng)之路！那么我們?cè)撊绾畏烙兀?/p>

最好的辦法當(dāng)然是堅(jiān)決避免在外網(wǎng)發(fā)布“3389”，同時(shí)也避免在內(nèi)網(wǎng)發(fā)布（如果客戶(hù)端被勒索病毒攻擊，勒索病毒會(huì)橫向移動(dòng)到內(nèi)網(wǎng)的3389端口）網(wǎng)絡(luò)服務(wù)器）。藍(lán)盟IT外包發(fā)布，至少推薦以下幾點(diǎn)：

* 設(shè)置密碼策略，強(qiáng)制使用強(qiáng)密碼，同時(shí)設(shè)置密碼嘗試輸入一定次數(shù)鎖定賬戶(hù)；

* 如需遠(yuǎn)程管理，建議使用vpn或企業(yè)版遠(yuǎn)程管理軟件；

* 及時(shí)更新補(bǔ)丁，確保服務(wù)器操作系統(tǒng)為最新版本；

* 部署安全軟件，自動(dòng)屏蔽產(chǎn)生爆破行為的IP地址段，或開(kāi)啟雙因素認(rèn)證，增加爆破難度；

* 在網(wǎng)絡(luò)邊界部署具有IPS功能的防火墻設(shè)備服務(wù)器運(yùn)維技術(shù)，可以識(shí)別掃描和爆破行為，獨(dú)立進(jìn)行防御。

需要強(qiáng)調(diào)的是，將3389端口改為其他端口并不能阻止黑客的掃描和爆破攻擊，風(fēng)險(xiǎn)與默認(rèn)的“3389”相同。如果您需要了解更多關(guān)于“3389”的信息，請(qǐng)聯(lián)系藍(lán)盟IT外包免費(fèi)咨詢(xún)。

文/上海藍(lán)盟IT外包專(zhuān)家