本篇文章为新开设的漏洞介绍板块的第一篇，后续将不定期发布相关篇幅，旨在向大家宣传漏洞防范与应对方法。文中所涉及的服务器IP等信息仅为演示说明用途，请勿将其用于任何非法用途；所提到的攻击方式仅用于帮助了解黑客攻击手段并进行相应防护，请勿在未授权的情况下进行测试。如需引用或分享，请务必遵守相关法律法规，共同维护网络安全环境。

1. 引言

远程桌面协议（RDP）长期以来一直是勒索软件攻击中最常见的初始攻击向量。根据2020年Unit 42的《事件响应与数据泄露报告》，Unit 42对超过1000起安全事件的数据进行分析后发现，在50%的勒索软件部署案例中，攻击者首先通过RDP入侵系统。

而在2021年发布的《Cortex Xpanse攻击面威胁报告》中，研究人员指出，RDP暴露在外的占比高达30%，几乎是第二常见暴露向量的两倍以上。这表明RDP暴露不仅为勒索攻击打开了方便之门，也成为企业网络安全防御中的重大隐患。

2. 典型案例

这是一个攻击者通过暴力破解RDP安装勒索软件的案例（外网案例），这次被破解的系统并未使用默认的RDP端口。攻击者在约17分钟内完成了对两台设备（包括一台域控制器）的勒索软件安装。

2.1 时间线

往期文章中我们也介绍了相关案例，通过对受害者运维机长期的RDP暴力破解后，成功登录并横向渗透控制获取多台服务器权限，最终一并实施加密，详情可见【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵

3. 场景还原

3.1 场景设置

本次模拟攻击场景中，黑客首先利用空间测绘引擎进行信息收集，将检测到开放RDP端口的IP地址汇总为TXT文件，并导入NLBrute工具进行密码爆破，通过高效密码字典对目标服务器进行暴力破解，成功获取服务器权限。随后，攻击者使用网络识别和密码喷洒工具对内网环境进行深入信息收集，逐步横向渗透，扩大受控机器的数量。最终，利用xfreerdp和mstsc工具实现RDP登录，并对目标系统执行实时勒索加密，完成整个攻击链的模拟。

3.2 攻击路线图

3.3 攻击复现

1. 黑客通过某资产测会引擎获取互联网开放3389端口的IP信息，导入文本中；
2. 利用NLBrute工具，配置IP、账号密码信息后进行批量枚举爆破，通过弱口令漏洞获取服务器权限；

3. 根据返回结果，成功登录访问IP；

4. 而后黑客使用NetExec工具于内网进行密码喷洒，横向扩散，获取更多机器权限；
5. 黑客使用xfreerdp远程桌面登陆服务器。

4. 工具介绍

4.1 RDP爆破工具：NLBrute

NLBrute 是一款主要用于爆破（Brute Force）远程登录服务账号密码的工具。

4.2 密码喷洒工具：NetExec

NetExec 作为一款可执行远程命令或进行批量管理的工具，通常需要提供远程目标的“账号”和“密码”或其他凭据来实现对目标系统的远程执行或管理操作。

4.3 RDP远程连接工具：xfreerdp

xfreerdp 是开源项目 FreeRDP 提供的一个命令行客户端工具，用于连接和使用 Microsoft RDP（Remote Desktop Protocol）服务。它通常运行在 Linux/Unix 系统（包括 macOS）上，为用户在非 Windows 平台上提供了对 Windows 远程桌面的访问能力。与图形化的 RDP 客户端相比，xfreerdp 采用命令行形式，具有一定的灵活性和可脚本化特点。

5. 漏洞详情

5.1 漏洞名称

RDP弱口令漏洞

5.2 漏洞类型

弱口令

5.3 漏洞描述

远程桌面协议（RDP）默认使用3389端口监听，成为攻击者的主要目标之一。通过脚本扫描互联网上暴露的3389端口，攻击者利用RDP弱口令漏洞，通过暴力破解或社会工程学手段获取登录凭证。一旦成功入侵，他们可能植入后门以便后续访问，或直接部署勒索软件进行文件加密和系统锁定。这种攻击方式利用了弱密码的安全缺陷，使暴露的RDP服务成为勒索软件攻击的高风险入口。

6. 应急响应排查

如果怀疑机器是通过RDP爆破入侵，可以通过查询系统日志快速进行排查。具体方法是利用Windows自带的系统日志功能，重点检索与登录活动相关的事件ID，通过分析登录成功和失败的日志记录来定位异常。特别是，当检测到短时间内大量连续的失败登录尝试并伴随成功登录记录时，需要警惕可能的暴力破解行为。此外，还可以结合登录时间、来源IP地址等信息，进一步分析是否为非法入侵。

• 通过日志可以看到由大量的登录失败日志，事件ID4625

• 如果大量的4625后紧接着4624的事件ID，则极为可能攻击者爆破成功。

• 在4624的事件ID日志中，可以看到攻击者使用的IP。

7. 防范措施

更改RDP默认端口并不能阻止攻击者，因为我们发现几乎所有开放的端口都会被扫描寻找RDP协议。如果必须通过互联网使用RDP，务必要禁用默认账户，并确保启用了多因素认证（MFA）。即便如此，我们仍然建议采用更安全的解决方案，比如使用VPN，或通过支持MFA的前端工具（如VMware View或Citrix Workspace）进行访问，以最大限度降低风险。

1. 将RDP置于虚拟专用网络（VPN）后面：通过VPN访问RDP，增加一层安全防护。
2. 启用多因素认证（MFA）：为所有用户账户启用MFA，是防止凭证被盗引发风险的最佳方式。
3. 堡垒机集中控制服务器：堡垒机能够帮助企业集中管理服务器的访问权限和账号信息，从而更好地实现对服务器的统一管控与审计。通过堡垒机，管理员可以实时监控服务器状态、审查日志、管理账号授权，并在出现异常时及时采取措施。同时，堡垒机还能为企业提供统一的授权机制，实现对用户访问服务器的精细化控制。
4. 定期更新密码并实施强密码策略：强制用户每隔一定时间（如90天）更换密码，避免长期使用同一密码增加被破解的可能性。要求密码长度至少8-12位，包含大小写字母、数字和特殊字符。

• 在Windows域环境中，可以通过组策略（Group Policy）来强制用户定期更换密码。打开 组策略管理控制台；
• 选择GPO并编辑；
• 在“组策略管理编辑器”中通过计算机配置 → Windows 设置 → 安全设置 → 帐户策略 → 密码策略，可设置密码最长使用期限、密码最短使用期限、最小密码长度、启用 密码必须符合复杂性要求；
• 配置完毕后，在client上运行gpupdate /force 用于刷新组策略。

5. 修改端口：定位注册表 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，修改PortNumber的value；

• 通过域的组策略批量修改域内主机的rdp端口；

• 选择 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp的PortNumber；

• 设置需要更改的端口数值后点击确定实现修改端口；

6. 设置断开会话的时间限制：为断开连接的会话设置时间限制，并在达到限制时自动结束会话，减少会话暴露风险。

在组策略的以下位置进行配置修改

• 计算机配置策略管理模板Windows 组件远程桌面服务远程桌面会话主机会话时间限制 ；
• 用户配置策略管理模板Windows 组件远程桌面服务远程桌面会话主机会话时间限制 ；

• 启用之后选择结束已断开连接的会话时间，之后点击确定；

7. 使用白名单（Allow-list）：配置白名单，只允许指定的IP地址访问RDP服务器，防止未经授权的连接。

• 计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> Windows 防火墙与高级安全 -> Windows 防火墙入站规则，在入站规则中先将常规->操作中选择只允许安全连接；

• 之后在远程用户选项配置白名单；

8. 部署互联网级攻击面监控解决方案：如使用Cortex Xpanse等工具，监控RDP或其他远程访问服务的意外暴露，及时发现安全隐患。

8. 相关文章

https://bullwall.com/how-has-rdp-become-a-ransomware-gateway/

https://www.paloaltonetworks.com/blog/2021/07/diagnosing-the-ransomware-deployment-protocol/

https://thedfirreport.com/2020/07/13/ransomware-again-but-we-changed-the-rdp-port/