更多全球网络安全资讯尽在邑安全
UAS是目前最大的黑客市场,用于窃取RDP凭据,目前泄露了130万台当前和历史上受威胁的Windows Remote Desktop服务器的登录名和密码。
由于大量泄露的远程访问凭据,研究人员第一次了解了繁忙的网络犯罪经济,并可以使用这些数据来弥补以前的网络攻击的失败。
网络管理员还将受益于网络安全公司Advanced Intel推出的一项名为RDPwned的新服务,该服务可使组织检查其RDP凭证是否已在市场上出售。
RDP有什么特别之处?
远程桌面协议(RDP)是一种Microsoft远程访问解决方案,它使用户可以远程访问Windows设备的应用程序和桌面,就像坐在计算机前面一样。
由于其在企业网络中的广泛使用,网络犯罪分子围绕出售被盗的RDP服务器凭据建立了一个繁荣的经济体系。
尽管您可能会认为访问公司网络的成本很高,但现实情况是,威胁参与者以低至3美元(通常不超过70美元)的价格出售远程桌面帐户。
一旦威胁参与者获得网络访问权限,他们就可以执行各种恶意活动。这些活动包括在整个网络中进一步传播,窃取数据,安装销售点(POS)恶意软件以收获信用卡,安装后门以进行进一步访问或部署勒索软件。
Windows Remote Desktop Services广泛用于破坏网络,以至于FBI表示RDP负责所有导致勒索软件攻击的网络破坏中的70-80%。
尽管所有勒索软件组都在一定程度上利用了RDP,但已知一个名为Dharma的勒索软件组主要使用远程桌面来赢得公司网络的立足点。
UAS,最大的RDP凭证市场
UAS或“最终匿名服务”是出售Windows远程桌面登录凭据,被盗的社会保险号以及对SOCKS代理服务器的访问权的市场。
使UAS脱颖而出的是,它是最大的此类市场,可以对已售出的RDP帐户凭据进行手动验证,提供客户支持,并提供有关如何保留对受感染计算机的远程访问的提示。
“市场在某种程度上像eBay一样运作-许多供应商与市场合作。他们有一个单独的位置登录并上传他们入侵的RDP。系统随后将对其进行验证,收集有关每个RDP的信息(操作系统,管理员权限?互联网速度,CPU,内存等),将其添加到列表中。”
“供应商界面为供应商提供了实时统计信息(卖出了什么,没有卖出什么,卖了什么但要求退款等)。”
一位希望保持匿名的安全研究人员告诉BleepingComputer:“如果出于某种原因您购买的产品不起作用,他们也会提供支持。他们确实认真对待客户支持。”
购买被盗的RDP帐户时,威胁行动者可以在特定的国家,州,城市,邮政编码,ISP或操作系统中搜索受感染的设备,从而使他们能够找到所需的特定服务器。
当前在UAS市场上出售的RDP服务器
潜在的购买者可以在每台服务器上更深入地挖掘,以查看Windows帐户的数量,Internet连接速度,服务器的硬件等等,如下所示。
有人告诉BleepingComputer,该市场不会出售位于俄罗斯或独立国家联合体(CIS)国家的任何服务器,而是运行一个脚本,该脚本会自动删除找到的任何服务器。
即使采用了这种服务器过滤功能,UAS目前仍在出售大量的23,706个RDP凭证。
秘密监视UAS市场
自2018年12月以来,一群安全研究人员已经秘密访问了UAS市场的数据库,并且已经悄悄收集了将近三年的RDP凭证销售信息。
在此期间,研究人员收集了自2018年底以来在UAS出售的1,379,609个RDP帐户的IP地址,用户名和密码。
该数据库已与高级英特尔的Vitali Kremez共享,后者还与BleepingComputer共享了经过编辑的副本以进行检查。
虽然我们不会列出数据库中找到的任何公司,但是可以说,列出的RDP服务器来自世界各地,包括来自63个国家/地区的政府机构,其中巴西,印度和美国为前三名。
还为许多知名的,备受瞩目的公司提供RDP服务器,其中许多服务器来自医疗保健行业。
此外,BleepingComputer在数据库中发现了许多RDP服务器,这些服务器属于已知在过去两年中遭受过勒索软件攻击的组织。
在分析了数据库中的130万个帐户之后,BleepingComputer提取了一些有趣的数据,这些数据应对所有计算机用户和网络管理员有用:
-
在已出售的RDP服务器中找到的前五个登录名是'Administrator', 'Admin', 'User', 'test', and 'scanner'。
-
RDP服务器使用的前五个密码是'123456', '123', 'P@ssw0rd', '1234', and 'Password1'。
-
数据库中代表的前五位国家是美国,中国,巴西,德国,印度和英国。
文章末尾提供了更完整的统计信息。
RDPwned:检查您的RDP是否受到威胁
Vitali Kremez启动了一项名为RDPwned的新服务,该服务使公司及其管理员可以检查其服务器是否在数据库中列出。
“市场与全球许多重大的违规事件和勒索软件案件相关。众所周知,许多勒索软件集团购买了UAS的初始访问权限。这一对手空间数据宝库为网络犯罪生态系统提供了一个视角,并确认低落的成果(例如密码设置不佳)和Internet公开的RDP仍然是造成违规的主要原因之一,”
Kremez告诉BleepingComputer:“ RDPwned还将帮助阐明他们从未想过对其进行初始访问的旧漏洞。对于其他漏洞,这将使他们有机会在安全问题变成漏洞之前解决安全问题,” Kremez告诉BleepingComputer。
要使用该服务,Kremez告诉BleepingComputer,公司需要提交公司高管或管理员的联系信息,高级英特尔将对此进行审查。
验证用户身份后,高级英特尔将确认其公司的服务器是否列在RDPwned中。
访客可以通过反向DNS,IP地址和域名来执行此查找。
进一步的统计
以下是其他统计信息,显示了UAS在市场上列出的130万台RDP服务器中排名前20位的登录名,排名前20位的密码。
前20个登录名
| 使用的登录名 | 帐户总数 | 使用的登录名 | 帐户总数 |
| Administrator | 303,702 | Usuario | 5,236 |
| Admin | 59,034 | user2 | 4,055 |
| User | 45,096 | Passv | 3,989 |
| test | 30,702 | testuser | 3,969 |
| scanner | 20,876 | test1 | 3,888 |
| scan | 16,087 | server | 3,754 |
| Guest | 12,923 | student | 3,592 |
| IME_ADMIN | 9,955 | reception | 3,482 |
| user1 | 8,631 | backup | 3,356 |
| Administrador | 8,612 | openpgsvc | 3,339 |
| Trader | 8,608 | info | 3,156 |
| postgres | 5,853 | VPN | 3,139 |
| IME_USER | 5,667 |
前20个密码
| 使用密码 | 帐户总数 | 使用密码 | 帐户总数 |
| 123456 | 71,639 | scan | 10,409 |
| 123 | 50,449 | test | 10,169 |
| P@ssw0rd | 47,139 | Aa123456 | 9,399 |
| 1234 | 34,825 | Password123 | 8,756 |
| Password1 | 27,007 | 12345678 | 8,647 |
| 1 | 24,955 | Admin123 | 8,214 |
| password | 19,148 | Passw0rd | 7,817 |
| 12345 | 16,522 | admin,.123!@#$%^ | 7,027 |
| admin | 15,587 | 1qaz@WSX | 6,248 |
| ffff-ffc0M456x (see note) | 15,114 | Welcome1 | 5,962 |
| Admin@123 | 13,572 | P@ssword64 | 5,522 |
| User | 13,437 | abc@123 | 4,958 |
| scanner | 13,193 |
注意:“ ffff-ffc0M456x”密码似乎是MailEnable安装程序为远程访问配置的默认密码。建议用户将此密码更改为其他密码。
原文来自: bleepingcomputer.com
原文链接: https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/
推荐文章
1
2
本文始发于微信公众号(邑安全):从暗网收集了130万台Windows RDP服务器的登录信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论