从暗网收集了130万台Windows RDP服务器的登录信息

  • A+
所属分类:安全闲碎

更多全球网络安全资讯尽在邑安全

从暗网收集了130万台Windows RDP服务器的登录信息

UAS是目前最大的黑客市场,用于窃取RDP凭据,目前泄露了130万台当前和历史上受威胁的Windows Remote Desktop服务器的登录名和密码。

由于大量泄露的远程访问凭据,研究人员第一次了解了繁忙的网络犯罪经济,并可以使用这些数据来弥补以前的网络攻击的失败。

网络管理员还将受益于网络安全公司Advanced Intel推出的一项名为RDPwned的新服务,该服务可使组织检查其RDP凭证是否已在市场上出售。

RDP有什么特别之处?

远程桌面协议(RDP)是一种Microsoft远程访问解决方案,它使用户可以远程访问Windows设备的应用程序和桌面,就像坐在计算机前面一样。

由于其在企业网络中的广泛使用,网络犯罪分子围绕出售被盗的RDP服务器凭据建立了一个繁荣的经济体系。

尽管您可能会认为访问公司网络的成本很高,但现实情况是,威胁参与者以低至3美元(通常不超过70美元)的价格出售远程桌面帐户。

一旦威胁参与者获得网络访问权限,他们就可以执行各种恶意活动。这些活动包括在整个网络中进一步传播,窃取数据,安装销售点(POS)恶意软件以收获信用卡,安装后门以进行进一步访问或部署勒索软件。

Windows Remote Desktop Services广泛用于破坏网络,以至于FBI表示RDP负责所有导致勒索软件攻击的网络破坏中的70-80%。

尽管所有勒索软件组都在一定程度上利用了RDP,但已知一个名为Dharma的勒索软件组主要使用远程桌面来赢得公司网络的立足点。

UAS,最大的RDP凭证市场

UAS或“最终匿名服务”是出售Windows远程桌面登录凭据,被盗的社会保险号以及对SOCKS代理服务器的访问权的市场。

使UAS脱颖而出的是,它是最大的此类市场,可以对已售出的RDP帐户凭据进行手动验证,提供客户支持,并提供有关如何保留对受感染计算机的远程访问的提示。

“市场在某种程度上像eBay一样运作-许多供应商与市场合作。他们有一个单独的位置登录并上传他们入侵的RDP。系统随后将对其进行验证,收集有关每个RDP的信息(操作系统,管理员权限?互联网速度,CPU,内存等),将其添加到列表中。”

“供应商界面为供应商提供了实时统计信息(卖出了什么,没有卖出什么,卖了什么但要求退款等)。”

一位希望保持匿名的安全研究人员告诉BleepingComputer:“如果出于某种原因您购买的产品不起作用,他们也会提供支持。他们确实认真对待客户支持。”

购买被盗的RDP帐户时,威胁行动者可以在特定的国家,州,城市,邮政编码,ISP或操作系统中搜索受感染的设备,从而使他们能够找到所需的特定服务器。

从暗网收集了130万台Windows RDP服务器的登录信息当前在UAS市场上出售的RDP服务器

潜在的购买者可以在每台服务器上更深入地挖掘,以查看Windows帐户的数量,Internet连接速度,服务器的硬件等等,如下所示。

从暗网收集了130万台Windows RDP服务器的登录信息

潜在买家的RDP服务器规格

有人告诉BleepingComputer,该市场不会出售位于俄罗斯或独立国家联合体(CIS)国家的任何服务器,而是运行一个脚本,该脚本会自动删除找到的任何服务器。

即使采用了这种服务器过滤功能,UAS目前仍在出售大量的23,706个RDP凭证。

秘密监视UAS市场

自2018年12月以来,一群安全研究人员已经秘密访问了UAS市场的数据库,并且已经悄悄收集了将近三年的RDP凭证销售信息。

在此期间,研究人员收集了自2018年底以来在UAS出售的1,379,609个RDP帐户的IP地址,用户名和密码。

该数据库已与高级英特尔的Vitali Kremez共享,后者还与BleepingComputer共享了经过编辑的副本以进行检查。

虽然我们不会列出数据库中找到的任何公司,但是可以说,列出的RDP服务器来自世界各地,包括来自63个国家/地区的政府机构,其中巴西,印度和美国为前三名。

还为许多知名的,备受瞩目的公司提供RDP服务器,其中许多服务器来自医疗保健行业。

此外,BleepingComputer在数据库中发现了许多RDP服务器,这些服务器属于已知在过去两年中遭受过勒索软件攻击的组织。

在分析了数据库中的130万个帐户之后,BleepingComputer提取了一些有趣的数据,这些数据应对所有计算机用户和网络管理员有用:

  • 在已出售的RDP服务器中找到的前五个登录名是'Administrator', 'Admin', 'User', 'test', and 'scanner'

  • RDP服务器使用的前五个密码是'123456', '123', '[email protected]', '1234', and 'Password1'

  • 数据库中代表的前五位国家是美国中国巴西德国印度英国

文章末尾提供了更完整的统计信息。

RDPwned:检查您的RDP是否受到威胁

Vitali Kremez启动了一项名为RDPwned的新服务,该服务使公司及其管理员可以检查其服务器是否在数据库中列出。

“市场与全球许多重大的违规事件和勒索软件案件相关。众所周知,许多勒索软件集团购买了UAS的初始访问权限。这一对手空间数据宝库为网络犯罪生态系统提供了一个视角,并确认低落的成果(例如密码设置不佳)和Internet公开的RDP仍然是造成违规的主要原因之一,”

Kremez告诉BleepingComputer:“ RDPwned还将帮助阐明他们从未想过对其进行初始访问的旧漏洞。对于其他漏洞,这将使他们有机会在安全问题变成漏洞之前解决安全问题,” Kremez告诉BleepingComputer。

要使用该服务,Kremez告诉BleepingComputer,公司需要提交公司高管或管理员的联系信息,高级英特尔将对此进行审查。

验证用户身份后,高级英特尔将确认其公司的服务器是否列在RDPwned中。

访客可以通过反向DNS,IP地址和域名来执行此查找。

进一步的统计

以下是其他统计信息,显示了UAS在市场上列出的130万台RDP服务器中排名前20位的登录名,排名前20位的密码。

前20个登录名

使用的登录名 帐户总数 使用的登录名 帐户总数
Administrator 303,702 Usuario 5,236
Admin 59,034 user2 4,055
User 45,096 Passv 3,989
test 30,702 testuser 3,969
scanner 20,876 test1 3,888
scan 16,087 server 3,754
Guest 12,923 student 3,592
IME_ADMIN 9,955 reception 3,482
user1 8,631 backup 3,356
Administrador 8,612 openpgsvc 3,339
Trader 8,608 info 3,156
postgres 5,853 VPN 3,139
IME_USER 5,667

前20个密码

使用密码 帐户总数 使用密码 帐户总数
123456 71,639 scan 10,409
123 50,449 test 10,169
[email protected] 47,139 Aa123456 9,399
1234 34,825 Password123 8,756
Password1 27,007 12345678 8,647
1 24,955 Admin123 8,214
password 19,148 Passw0rd 7,817
12345 16,522 admin,[email protected]#$%^ 7,027
admin 15,587 [email protected] 6,248
ffff-ffc0M456x (see  note) 15,114 Welcome1 5,962
[email protected] 13,572 [email protected] 5,522
User 13,437 [email protected] 4,958
scanner 13,193

注意:“ ffff-ffc0M456x”密码似乎是MailEnable安装程序为远程访问配置的默认密码。建议用户将此密码更改为其他密码。

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/

欢迎收藏并分享朋友圈,让五邑人网络更安全

从暗网收集了130万台Windows RDP服务器的登录信息

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):从暗网收集了130万台Windows RDP服务器的登录信息

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: