超10万IP地址发起大规模攻击 僵尸网络瞄准RDP服务

一个大规模僵尸网络通过超过100,000 个IP 地址针对美国的远程桌面协议(RDP) 服务。此次攻击始于10月8日，威胁监测平台GreyNoise的研究人员根据IP地址来源判断，此次攻击是由跨国僵尸网络发起的。

远程桌面协议（RDP）是一种支持远程连接和控制Windows系统的网络协议。通常由管理员、技术支持人员和远程办公人员使用。

攻击者经常利用RDP以多种方式进行攻击，包括扫描开放的RDP端口、暴力破解登录密码、利用协议漏洞或发起定时攻击等。

核心攻击手段：两种RDP相关攻击方式，精准用户账号枚举研究人员发现，该僵尸网络主要依赖两种RDP相关攻击方式：

1、RD Web访问时序攻击：检测RD Web访问端点，通过检测匿名认证过程中的响应时间差来推断系统中的有效用户名；

2. RDP Web 客户端登录枚举：与RDP Web 客户端的登录过程进行交互，通过观察服务器行为和响应的差异来枚举系统中的用户帐户。

GreyNoise最初通过巴西异常流量激增发现了此次攻击，随后在更多国家和地区检测到类似攻击，包括阿根廷、伊朗、墨西哥、俄罗斯、南非、厄瓜多尔等。该公司表示，僵尸网络中被劫持设备所在的国家总数已超过100个。

巴西异常活动激增

几乎所有发起攻击的IP 地址都具有相同的TCP 指纹；尽管某些IP的“最大分段大小”存在差异，但研究人员认为这是由于僵尸网络的集群不同所致。

防御建议：拦截攻击IP+加强RDP安全配置。为了防御此类攻击，安全研究人员建议系统管理员应尽快采取以下措施：

马云惹不起马云封锁发起攻击的IP地址，并检查日志中是否有可疑的RDP检测行为；

马云惹不起马云核心防御原则：不将远程桌面连接暴露到公网。建议通过构建虚拟专用网络并启用多重身份验证，为RDP 访问添加额外的安全层。