标签: RDP

黑客通过远程桌面服务安装新型 Matrix 勒索软件变体

MalwareHunterTeam 本周发现了两个新的 Matrix Ransomware 变体,这些变体正在通过被黑客入侵的远程桌面服务进行安装。尽管这两种变体都会对计算机的文件进行加密,但其中一种更加先进,可提供更多调试消息并使用密码来擦除可用空间。 根据勒索软件执行时显示的调试消息以及 BleepingComputer 论坛中的各种报告,该勒索软件目前正在通过攻击者直接连接到互联网的远程桌面服务向受害者分发。一旦攻击者获得访问计算机的权限,他们将上传安装程序并执行它。 目前有两种不同的 Matrix 版本正在发布。这两种变体都安装在黑客 RDP 上,加密未映射的网络共享,加密时显示状态窗口,清除卷影副本以及加密文件名。不过,这两个变体之间有一些细微差别,第二个变体([RestorFile@tutanota.com])稍微高级一些。这些差异如下所述。 变体 1:[Files 4463@tuta.io] 这种由[ Files4463@tuta.io ]扩展名标识的变体是较不先进的变体。当这个变体正在运行时,它将同时打开以下两个窗口来显示感染的状态。 一个窗口是关于加密的状态消息,另一个窗口是关于网络共享扫描的信息。 当文件被加密时,它会加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名。 例如, test.jpg 会被加密并重命名为 0ytN5eEX-RKllfjug。[ Files4463@tuta.io ]。 该变体还会在每个扫描的文件夹中放置命名为!ReadMe_To_Decrypt_Files!.rtf 的赎金记录。该赎金说明包含用于联系攻击者并进行赎金支付的 Files4463@tuta.io,Files4463@protonmail.ch 和 Files4463@gmail.com 电子邮件地址。 该变体还将桌面背景更改为以下图像。 不幸的是,Matrix Ransomware 的这种变体无法免费解密。 变体 2:[RestorFile@tutanota.com] 第二个变体通过使用[ RestorFile@tutanota.com ]扩展名来标识。虽然这个变体的操作方式与前一个类似,但它有点更先进,因为它具有更好的调试消息,并且在加密完成后利用 cipher 命令覆盖计算机上的所有可用空间。 此外,该变体使用不同的联系人电子邮件地址,不同的扩展名和不同的赎金票据名称。 当这个变体正在运行时,它将利用下列窗口显示感染的状态。 请注意,与前一个版本相比,此版本中显示的日志记录更多。 当文件被加密时,它将加密文件名,然后附加[ RestorFile@tutanota.com ]扩展名到它。 例如, test.jpg 会被加密并重新命名为 0ytN5eEX-RKllfjug [RestorFile@tutanota.com ]。 此变体还会在每个扫描的文件夹中放置名为 #Decrypt_Files_ReadMe#.rtf 的赎金备注。 该赎金说明包含用于联系攻击者并进行赎金支付的 RestorFile@tutanota.com,RestoreFile@protonmail.com 和 RestoreFile@qq.com 电子邮件地址。 它还会将桌面背景更改为以下图像。 在此变体完成加密计算机后,它将执行“ cipher.exe / w:c ”命令以覆盖 C:驱动器上的可用空间。 这是为了防止受害者使用文件恢复工具来恢复他们的文件。 不幸的是,像以前的版本一样,这个版本不能免费解密。 如何保护您免受 Matrix Ransomware 的侵害 为了保护自己免受勒索软件攻击,一定要使用良好的计算习惯和安全软件。首先,您应始终拥有可靠且经过测试的数据备份,以备在紧急情况下可以恢复,如勒索软件攻击。 由于 Matrix Ransomware 可能通过黑客入侵的远程桌面服务进行安装,因此确保其正确锁定非常重要。这包括确保没有运行远程桌面服务的计算机直接连接到 Internet。而应将运行远程桌面的计算机放在 VPN 后面,以便只有那些在您的网络上拥有 VPN 帐户的人才能访问它们。 设置适当的帐户锁定策略也很重要,这样可以使帐户难以被强制通过远程桌面服务强制执行。 您还应该拥有安全软件,其中包含行为检测以对抗勒索软件,而不仅仅是签名检测或启发式检测。例如,Emsisoft 反恶意软件和 Malwarebytes 反恶意软件都包含行为检测功能,可以防止许多(如果不是大多数)勒索软件感染对计算机进行加密。 最后但并非最不重要的一点是,确保您练习以下安全习惯,在许多情况下这些习惯是所有最重要的步骤: – 备份 – 如果您不知道是谁发送的,请不要打开附件。 – 直到您确认该人实际寄给您的附件才开启附件, – 使用 VirusTotal 等工具扫描附件。 – 确保所有的 Windows 更新一旦出来就安装好! 另外请确保您更新所有程序,特别是 Java,Flash 和 Adobe Reader。 较旧的程序包含恶意软件分发者通常利用的安全漏洞。 因此重要的是让他们更新。 – 确保您使用的是安装了某种使用行为检测或白名单技术的安全软件。 白名单可能是一个痛苦的训练,但如果你愿意与它一起存货,可能会有最大的回报。 – 使用硬密码并且不要在多个站点重复使用相同的密码。 稿源:东方安全,封面源自网络;

远程桌面协议 CredSSP 出现漏洞,影响所有版本的 Windows

RDP 和 WInRM 中使用的 CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。 远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。 如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。 目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。 稿源:freebuf,封面源自网络;

美国一家医院被迫支付 5.5 万美元赎金,以摆脱“SamSam” 勒索软件

外媒 1 月 16 日消息,美国印第安纳州汉考克地区一家医院(Hancock Health)被迫向黑客组织支付了价值 5.5 万美元的比特币赎金,以尽快摆脱勒索软件 “ SamSam ” 对其计算机设备的控制。据悉,该黑客组织通过暴力破解 RDP 端口,达到在更多的计算机设备上部署 SamSam 勒索软件的目的。 上周四( 1 月 11 日),Hancock Health 的工作人员发现黑客组织影响了医院的电子邮件和健康记录,但并没有窃取患者数据 。随后,经过相关研究人员展开调查发现,该组织使用 SamSam 勒索软件加密文件,并将文件重命名为“ I’m sorry ”。其实 SamSam 早在两年前就已出现过, 主要通过开放的 RDP 端口进行传播。 目前 Hancock Health 紧急采取了应对措施,例如通过 IT 人员介入暂停了整个网络;要求员工关闭所有计算机,以避免勒索软件传播到其他计算机;更有传言称医护人员利用笔和纸代替计算机来继续工作。 Hancock Health 表示尽管文件都有备份,但从备份中恢复文件很麻烦,因为要把所有的系统投入运行需要几天甚至几周的时间,以至于不得不向黑客组织支付赎金。 消息来源:Bleeping Computer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑客于暗网正出售企业内部 RDP 远程桌面连接凭证,售价最低 3 美元

安全人员近期发现暗网里的部分网站正在销售企业内部设备的 RDP 远程桌面协议的凭证,以便直接访问目标企业内网。据悉,这种不需要借助恶意软件和木马病毒就可窥探企业内网的凭证,目前正在暗网逐渐兴起并产生市场竞争。 据悉,这些 RDP 凭证涉及卫生保健以及教育和企业组织等多种类型,最低价格仅仅只需要 3 美元即可。此外,远程桌面协议允许个人通过网络连接后直接访问对应设备。然而,通常此类设备都是虚拟桌面或者远程管理系统。因此攻击者如果可借助凭证访问 RDP 的话,即可顺利进入内网窃取数据,且企业并不会察觉任何异常情况。另外,依据操作系统的不同,存在售价差异。例如:Windows XP 系统的 RDP 凭证最低仅只需要 3 美元即可,而 Windows 10 系统的 RDP 凭证则需 9 美元起。 经调查发现,成立于 2016 年年初的 UAS 终极匿名服务网站是暗网里销售 RDP 远程桌面连接凭证最活跃且最受欢迎的商店。据称,UAS 商店可以提供涵盖各个国家不同操作系统的 RDP 凭证,其高峰期掌握超过 35,000 份 RDP 凭证可提供出售,其中包括中国和巴西以及美国的数万台设备的凭证,而价格最高的 RDP 凭证也仅仅只需要 15 美元。 暗网和低下黑市中并不是只有 UAS 商店提供 RDP 凭证销售,实际上诸如 xDedic 等同行竞争对手亦在销售凭证。xDedic 的 RDP 凭证价格从 10美元到 100 美元不等,但研究人员称似乎并未发现这些凭证与 UAS 的有太大区别。但不可否认的是 RDP 凭证已经逐步形成了活跃的黑色市场,这对于多数企业和机构来说绝对不是什么好事情。很多企业的 RDP 凭证实际已经泄露但却毫无察觉,在这种情况下攻击者借助 RDP 潜伏和窃取数据可持续很久。目前,研究人员建议使用此类协议的企业和机构应定期检查系统安全性, 尤其是凭证密码更应该定期更换防止泄露。 稿源:蓝点网,封面源自网络;

Rapid7 发布警告:远程桌面协议( RDP )在线暴露数百万 Windows 终端

据外媒 8 月 14 日报道,网络安全公司 Rapid7 专家近期通过分析远程桌面协议( RDP )端点的数据时发现 RDP 在线暴露逾了 410 万台 Windows 终端。 Rapid7 曾于今年 5 月发表一份研究报告,揭示数百万设备因 SMB、Telnet、RDP 与其他类型的配置错误遭受网络攻击。相关数据显示, 今年第一季度的 RDP 开放终端与 2016 年初( 1080 万台 )相比 “ 减少 ” 360 万台。 安全专家指出,即使用户在 Windows 上默认禁用 RDP 协议,它通常也会允许管理人员在内部网络中运行与维护。据悉,微软自 2002 年以来就已处理过数十处 RDP 漏洞,其中包括影子经纪人曾在线曝光的安全漏洞 EsteemAudit(CVE-2017-0176),旨在攻击远程桌面协议服务( 端口 3389 )。远程桌面协议攻击是恶意软件分发的特权攻击载体。目前,多数恶意软件已使用远程桌面协议(CrySiS、 Dharma 与 SamSam)作为攻击来源系统。 Rapid7 研究报告显示,多数暴露的远程桌面协议端点(28.8%,或超过 110万)位于美国,其次是中国(17.7%,约 73 万)、德国(4.3%,约 177,000)、巴西(3.3%,约 137,000)与韩国(3.0%,约 123,000)。然而,专家注意到,与暴露的 RDP 端点相关联的 IP 地址组织,多数属于亚马逊(7.73%),其次是阿里巴巴(6.8%)、微软(4.96%)、中国电信(4.32%)等。 Rapid7 报告显示,目前超过 83% 的远程桌面协议终端愿意继续使用 CredSSP 作为安全协议验证与保护 RDP 会话,而逾 15% 的终端因极易遭受中间人攻击不再继续支持 SSL / TLS 协议。 原作者:Pierluigi Paganini,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。