全球性攻击前兆:针对Windows RDP的扫描活动激增
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
GreyNoise警告,针对微软远程桌面协议(RDP)的扫描活动显著增加,攻击者通过探测认证接口为凭证攻击做准备。8月21日,近2000个恶意IP同时探测RDP服务,8月24日超过3万个IP参与,显示攻击者协调行动。此次攻击主要针对教育机构,利用返校季节的安全漏洞,GreyNoise提醒此类侦察活动可能导致后续攻击。
🎯
关键要点
- GreyNoise警告针对微软远程桌面协议(RDP)的扫描活动显著增加。
- 攻击者通过探测认证接口为凭证攻击做准备。
- 8月21日,近2000个恶意IP同时探测RDP服务,8月24日超过3万个IP参与。
- 此次攻击主要针对教育机构,利用返校季节的安全漏洞。
- 攻击者通过测量认证响应的时间差异来识别有效用户名。
- 攻击源主要来自巴西(约73%),美国成为主要目标。
- 攻击者利用教育机构网络安全薄弱的季节性窗口进行攻击。
- 即便不立即实施攻击,侦察活动也可用于后续的凭证填充和密码喷洒。
- 历史数据显示,攻击活动激增后六周内往往会出现新漏洞的披露。
❓
延伸问答
针对微软RDP的扫描活动为何会激增?
攻击者通过系统化探测认证接口,为后续的凭证攻击做准备,尤其是在返校季节利用教育机构的安全漏洞。
这次攻击主要针对哪些机构?
此次攻击主要针对教育机构,尤其是在返校季节。
攻击者是如何识别有效用户名的?
攻击者通过测量认证响应的时间差异来识别有效用户名。
攻击活动的规模有多大?
8月21日,近2000个恶意IP同时探测RDP服务,8月24日超过3万个IP参与,显示出攻击者的协调行动。
攻击者的主要来源国是哪些?
攻击源主要来自巴西(约73%),美国成为主要目标。
GreyNoise对未来攻击活动有什么预警?
GreyNoise警告称,侦察活动可能导致后续的凭证填充和密码喷洒,且历史数据显示攻击活动激增后六周内往往会出现新漏洞的披露。
➡️
