國際機場主機訪問權限10美元售賣
責編:gltian |2018-07-16 13:33:33大型國際機場主機的遠程桌面(RDP)登錄權限在暗網上僅售10美元。
RDP是微軟專利協議,提供對遠程主機的圖形化界面訪問,本是出于管理目的而設計的,但卻被網絡罪犯當成了攻擊武器庫中一項很趁手的工具。
事實上,過去幾年,相當多的惡意軟件家族都采用了RDP,讓這項技術成為了比電子郵件更流行的勒索軟件分發途徑。
醫療企業多起勒索軟件攻擊事件背后的SamSam惡意軟件就采用了該技術。SamSam還被黑客用于感染亞特蘭大市面向公眾的應用和某些內部服務(該市的恢復工作花費了1000萬美元)。
正如邁克菲發現的,網絡罪犯獲得高價值網絡的RDP訪問權限非常容易:登錄地下黑市,花費10美元左右,或者自己掃描一下能訪問的系統。
研究人員探查了幾家RDP賣家,售賣的RDP連接在15個到4萬個左右。最大的一家名為“終極匿名服務( Ultimate Anonymity Service : UAS ),是俄羅斯人在經營。其他幾家大型賣家還有Blackpass、Flyded和xDedic(2016年6月被分析過)。
網絡罪犯在這些市場上售賣多種系統的RDP訪問,從 Windows XP 到 Windows 10 都有,Windows 2008 和 2012 Server 是最熱門的(分別有1.1萬和6500臺左右)。價格從3美元(單機)到19美元(帶管理員權限的高帶寬系統)不等。
Windows Embedded Standard (又稱 Windows IOT )系統的訪問權也有售,這些系統包括了與荷蘭多個市政機構、住房協會和醫療機構相關的數百臺類似機器。全球多個政府系統的遠程訪問權限也出現在了暗網市場上。
研究人員在UAS商店發現了一臺新上架的 Windows Server 2008 R2 Standard 主機,售價僅10美元,并最終發現這臺機器位于美國一座大型國際機場內。
這臺主機的3個用戶賬戶被UAS出售,一個是管理員賬戶,另外兩個與某機場安全和樓宇自動化公司及一家機場攝像頭監控和視頻分析公司相關。
邁克菲表示:“我們沒有探索這些賬戶的全部訪問權限,但在Mimikatz之類工具的幫助下,入侵這一臺便可提供很好的橋頭堡和橫向移動途徑。”
另一個系統上發現的一個賬戶將研究人員帶到了似乎與該機場自動化運輸系統相關的一個網域。該系統也可以從互聯網發起訪問。
研究人員強調:“現在我們知道,SamSam團伙之類的攻擊者完全可以通過RDP商店入手潛在高價值目標的訪問權。我們發現大型國際機場某系統的訪問權限僅售10美元——不用零日漏洞利用,無需麻煩的網絡釣魚行動,也用不到水坑攻擊。”
雖然遠程訪問對管理員而言非常有用,但如果保護不力,也會成為管理員的責任。而且,隨著RDP商店囤積大量脆弱主機地址,網絡罪犯也無需耗費時間精力甄選受害者了,直接網購即可。
邁克菲表示:“除了售賣RDP,一些商店還提供身份證號、信用卡數據和在線商店登錄憑證的實時交易。BlackPass提供的商品種類最為豐富。這些代理商中最賺錢的還提供一站式欺詐工具訪問服務:對計算機、身份證號和開設銀行賬戶或貸款所需其他資料的RDP訪問。”