国际机场主机访问权限10美元售卖

大型国际机场主机的远程桌面(RDP)登录权限在暗网上仅售10美元。

RDP是微软专利协议,提供对远程主机的图形化界面访问,本是出于管理目的而设计的,但却被网络罪犯当成了攻击武器库中一项很趁手的工具。

images-1-8

事实上,过去几年,相当多的恶意软件家族都采用了RDP,让这项技术成为了比电子邮件更流行的勒索软件分发途径。

医疗企业多起勒索软件攻击事件背后的SamSam恶意软件就采用了该技术。SamSam还被黑客用于感染亚特兰大市面向公众的应用和某些内部服务(该市的恢复工作花费了1000万美元)。

正如迈克菲发现的,网络罪犯获得高价值网络的RDP访问权限非常容易:登录地下黑市,花费10美元左右,或者自己扫描一下能访问的系统。

研究人员探查了几家RDP卖家,售卖的RDP连接在15个到4万个左右。最大的一家名为“终极匿名服务( Ultimate Anonymity Service : UAS ),是俄罗斯人在经营。其他几家大型卖家还有Blackpass、Flyded和xDedic(2016年6月被分析过)。

网络罪犯在这些市场上售卖多种系统的RDP访问,从 Windows XP 到 Windows 10 都有,Windows 2008 和 2012 Server 是最热门的(分别有1.1万和6500台左右)。价格从3美元(单机)到19美元(带管理员权限的高带宽系统)不等。

Windows Embedded Standard (又称 Windows IOT )系统的访问权也有售,这些系统包括了与荷兰多个市政机构、住房协会和医疗机构相关的数百台类似机器。全球多个政府系统的远程访问权限也出现在了暗网市场上。

研究人员在UAS商店发现了一台新上架的 Windows Server 2008 R2 Standard 主机,售价仅10美元,并最终发现这台机器位于美国一座大型国际机场内。

这台主机的3个用户账户被UAS出售,一个是管理员账户,另外两个与某机场安全和楼宇自动化公司及一家机场摄像头监控和视频分析公司相关。

迈克菲表示:“我们没有探索这些账户的全部访问权限,但在Mimikatz之类工具的帮助下,入侵这一台便可提供很好的桥头堡和横向移动途径。”

另一个系统上发现的一个账户将研究人员带到了似乎与该机场自动化运输系统相关的一个网域。该系统也可以从互联网发起访问。

研究人员强调:“现在我们知道,SamSam团伙之类的攻击者完全可以通过RDP商店入手潜在高价值目标的访问权。我们发现大型国际机场某系统的访问权限仅售10美元——不用零日漏洞利用,无需麻烦的网络钓鱼行动,也用不到水坑攻击。”

虽然远程访问对管理员而言非常有用,但如果保护不力,也会成为管理员的责任。而且,随着RDP商店囤积大量脆弱主机地址,网络罪犯也无需耗费时间精力甄选受害者了,直接网购即可。

迈克菲表示:“除了售卖RDP,一些商店还提供身份证号、信用卡数据和在线商店登录凭证的实时交易。BlackPass提供的商品种类最为丰富。这些代理商中最赚钱的还提供一站式欺诈工具访问服务:对计算机、身份证号和开设银行账户或贷款所需其他资料的RDP访问。”

上一篇:如何像顶级球队一样抵御DDoS?

下一篇:从北京奥运到俄罗斯世界杯,新华社携手锐捷网络的“十年”追梦之旅