1. 引言

Windows系統遠程桌面協議（RDP）長期以來一直是勒索軟件攻擊中最常見的初始攻擊向量。根據2020年Unit 42的《事件響應與數據泄露報告》，Unit 42對超過1000起安全事件的數據進行分析后發現，在50%的勒索軟件部署案例中，攻擊者首先通過RDP入侵系統。

而在2021年發布的《Cortex Xpanse攻擊面威脅報告》中，研究人員指出，RDP暴露在外的占比高達30%，幾乎是第二常見暴露向量的兩倍以上。這表明RDP暴露不僅為勒索攻擊打開了方便之門，也成為企業網絡安全防御中的重大隱患。

2. 典型案例

這是一個攻擊者通過暴力破解RDP安裝勒索軟件的案例（外網案例），這次被破解的系統并未使用默認的RDP端口。攻擊者在約17分鐘內完成了對兩臺設備（包括一臺域控制器）的勒索軟件安裝。

2.1 時間線

往期文章中我們也介紹了相關案例，通過對受害者運維機長期的RDP暴力破解后，成功登錄并橫向滲透控制獲取多臺服務器權限，最終一并實施加密，詳情可見【成功案例】RDP暴露引發的蝴蝶效應：LockBit組織利用MSF工具及永恒之藍漏洞進行勒索入侵

3. 場景還原

3.1 場景設置

本次模擬攻擊場景中，黑客首先利用空間測繪引擎進行信息收集，將檢測到開放RDP端口的IP地址匯總為TXT文件，并導入NLBrute工具進行密碼爆破，通過高效密碼字典對目標服務器進行暴力破解，成功獲取服務器權限。隨后，攻擊者使用網絡識別和密碼噴灑工具對內網環境進行深入信息收集，逐步橫向滲透，擴大受控機器的數量。最終，利用xfreerdp和mstsc工具實現RDP登錄，并對目標系統執行實時勒索加密，完成整個攻擊鏈的模擬。

3.2 攻擊路線圖

3.3 攻擊復現

1. 黑客通過某資產測會引擎獲取互聯網開放3389端口的IP信息，導入文本中；

   

   
   

2. 利用NLBrute工具，配置IP、賬號密碼信息后進行批量枚舉爆破，通過弱口令漏洞獲取服務器權限；

   

   
   

3. 根據返回結果，成功登錄訪問IP；

   

   
   

4. 而后黑客使用NetExec工具于內網進行密碼噴灑，橫向擴散，獲取更多機器權限；

   

5. 黑客使用xfreerdp遠程桌面登陸服務器。

4. 工具介紹

4.1 RDP爆破工具：NLBrute

NLBrute 是一款主要用于爆破（Brute Force）遠程登錄服務賬號密碼的工具。

4.2 密碼噴灑工具：NetExec

NetExec 作為一款可執行遠程命令或進行批量管理的工具，通常需要提供遠程目標的“賬號”和“密碼”或其他憑據來實現對目標系統的遠程執行或管理操作。

4.3 RDP遠程連接工具：xfreerdp

xfreerdp 是開源項目 FreeRDP 提供的一個命令行客戶端工具，用于連接和使用 Microsoft RDP（Remote Desktop Protocol）服務。它通常運行在 Linux/Unix 系統（包括 macOS）上，為用戶在非 Windows 平臺上提供了對 Windows 遠程桌面的訪問能力。與圖形化的 RDP 客戶端相比，xfreerdp 采用命令行形式，具有一定的靈活性和可腳本化特點。

5. 漏洞詳情

5.1 漏洞名稱

RDP弱口令漏洞

5.2 漏洞類型

弱口令

5.3 漏洞描述

遠程桌面協議（RDP）默認使用3389端口監聽，成為攻擊者的主要目標之一。通過腳本掃描互聯網上暴露的3389端口，攻擊者利用RDP弱口令漏洞，通過暴力破解或社會工程學手段獲取登錄憑證。一旦成功入侵，他們可能植入后門以便后續訪問，或直接部署勒索軟件進行文件加密和系統鎖定。這種攻擊方式利用了弱密碼的安全缺陷，使暴露的RDP服務成為勒索軟件攻擊的高風險入口。

6. 應急響應排查

如果懷疑機器是通過RDP爆破入侵，可以通過查詢系統日志快速進行排查。具體方法是利用Windows自帶的系統日志功能，重點檢索與登錄活動相關的事件ID，通過分析登錄成功和失敗的日志記錄來定位異常。特別是，當檢測到短時間內大量連續的失敗登錄嘗試并伴隨成功登錄記錄時，需要警惕可能的暴力破解行為。此外，還可以結合登錄時間、來源IP地址等信息，進一步分析是否為非法入侵。

• 通過日志可以看到由大量的登錄失敗日志，事件ID4625

• 如果大量的4625后緊接著4624的事件ID，則極為可能攻擊者爆破成功。

• 在4624的事件ID日志中，可以看到攻擊者使用的IP。

7. 防范措施

更改RDP默認端口并不能阻止攻擊者，因為我們發現幾乎所有開放的端口都會被掃描尋找RDP協議。如果必須通過互聯網使用RDP，務必要禁用默認賬戶，并確保啟用了多因素認證（MFA）。即便如此，我們仍然建議采用更安全的解決方案，比如使用VPN，或通過支持MFA的前端工具（如VMware View或Citrix Workspace）進行訪問，以最大限度降低風險。

1. 將RDP置于虛擬專用網絡（VPN）后面：通過VPN訪問RDP，增加一層安全防護。
2. 啟用多因素認證（MFA）：為所有用戶賬戶啟用MFA，是防止憑證被盜引發風險的最佳方式。
3. 堡壘機集中控制服務器：堡壘機能夠幫助企業集中管理服務器的訪問權限和賬號信息，從而更好地實現對服務器的統一管控與審計。通過堡壘機，管理員可以實時監控服務器狀態、審查日志、管理賬號授權，并在出現異常時及時采取措施。同時，堡壘機還能為企業提供統一的授權機制，實現對用戶訪問服務器的精細化控制。
   
   
   
4. 定期更新密碼并實施強密碼策略：強制用戶每隔一定時間（如90天）更換密碼，避免長期使用同一密碼增加被破解的可能性。要求密碼長度至少8-12位，包含大小寫字母、數字和特殊字符。

• 在Windows域環境中，可以通過組策略（Group Policy）來強制用戶定期更換密碼。打開 組策略管理控制臺；
  
  
  
• 選擇GPO并編輯；
  
  
  
• 在“組策略管理編輯器”中通過計算機配置 → Windows 設置 → 安全設置 → 帳戶策略 → 密碼策略，可設置密碼最長使用期限、密碼最短使用期限、最小密碼長度、啟用 密碼必須符合復雜性要求；
  
  
  
• 配置完畢后，在client上運行gpupdate /force 用于刷新組策略。
  
  

5. 修改端口：定位注冊表 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp，修改PortNumber的value；

• 通過域的組策略批量修改域內主機的rdp端口；

• 選擇 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp的PortNumber；

• 設置需要更改的端口數值后點擊確定實現修改端口；

6. 設置斷開會話的時間限制：為斷開連接的會話設置時間限制，并在達到限制時自動結束會話，減少會話暴露風險。

在組策略的以下位置進行配置修改

• 計算機配置\策略\管理模板\Windows 組件\遠程桌面服務\遠程桌面會話主機\會話時間限制 ；
• 用戶配置\策略\管理模板\Windows 組件\遠程桌面服務\遠程桌面會話主機\會話時間限制 ；

• 啟用之后選擇結束已斷開連接的會話時間，之后點擊確定；

7. 使用白名單（Allow-list）：配置白名單，只允許指定的IP地址訪問RDP服務器，防止未經授權的連接。

• 計算機配置 -> 策略 -> Windows 設置 -> 安全設置 -> Windows 防火墻與高級安全 -> Windows 防火墻入站規則，在入站規則中先將常規->操作中選擇只允許安全連接；

• 之后在遠程用戶選項配置白名單；

8. 部署互聯網級攻擊面監控解決方案：如使用Cortex Xpanse等工具，監控RDP或其他遠程訪問服務的意外暴露，及時發現安全隱患。

8. 相關文章

https://bullwall.com/how-has-rdp-become-a-ransomware-gateway/

https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/

https://thedfirreport.com/2020/07/13/ransomware-again-but-we-changed-the-rdp-port/