针对3389远程管理端口的攻击正在路上……

美国网络犯罪举报中心（IC3）与美国国土安全部（DHS）、联邦调查局（FBI）合作发布了，通过Windows远程桌面协议（RDP）可以进行攻击的安全警报。

攻击者可以入侵暴露的RDP服务以进行企业盗窃，安装后门或作为其他攻击的跳板。

跳板，简单来说，就是为了隐藏自己的地址，让别人无法查找到自己的位置

美国应急小组称。

“远程管理工具，例如远程桌面协议（RDP），黑客以它作为一种攻击媒介，自2016年中旬以来一直在上升，随着市场的出现，他们开始销售RDP 的连接方式，” 

“黑客已经找到了可以识别并加以利用的互联网上脆弱的RDP会话的方法，用于危害他人、窃取登录凭证和勒索其他敏感信息。

联邦调查局（FBI）和国土安全部（DHS）建议，企业和某些个体户应当及时检查他们的网络所允许的远程访问，并采取相关防护措施，例如在不需要远程访问的时候禁用RDP。“

在去年xDedic上就有开始售卖被黑客入侵的远程桌面的账户。而在今年这种交易还在继续。

在xDedic市场上销售的RDP服务器

Shodan.io（互联网连接设备搜索引擎）也表明，有超过200万台计算机运行远程桌面并直接连接到互联网。这些服务器很容易就会被黑客入侵。

Shodan列出运行RDP的计算机

过去几年的RDP攻击示例

Matrix勒索软件：Matrix勒索软件主要通过RDP进行攻击，只要是开启了远程桌面服务端口，就会受到攻击，前提是需要手动安装程序

GLOBEIMPOSTER勒索软件：GlobeImposter勒索软件之前的变种利用RDP（远程桌面协议）暴力破解远端机器的密码实现传播，因此建议关闭RDP。

Samsam勒索软件：Samsam使用暴力破解攻击RDP登录凭据并成功渗透进某医疗公司。勒索软件在被检测到之前加密了数千台机器。

因为这些被攻击的不是单个的计算机，而是整个网络，并且带有3,000美元到5,000美元的价格来解密一台计算机或者高达50,000美元来解密整个网络，所以它们往往被高度宣传。

例如，用勒索软件攻击美国的PGA，圣地亚哥港，亚特兰大，以及众多医院 。

因此，保护RDP不被入侵至关重要。

保护远程桌面服务器

远程桌面服务已经成为公司不可或缺的工具，如果你想使用RDP，你就必须要保护它！

下面我们概述了应该执行的各种步骤，保护远程桌面服务器免受攻击

不要将RDP服务器直接暴露给Internet

这一项可以在本地安全策略里进行修改：

为了更加安全，可以向添加域用户登录身份验证。

启用帐户锁定策略

通常可以通过使用帐户锁定策略来防止暴力攻击。这些策略可以使多次失败的用户在几分钟之内无法再次登录。

启用帐户登录审核

通过启用帐户审核策略，管理员可以深入了解哪些帐户重复登录尝试失败。这使管理员可以查明哪些用户是存在问题的。

安装安全更新

最后，尤其是重要性，更新，更新，更新。最新的补丁一定要抓紧时间安装。

最后华盟君提醒：

不管是个人电脑还是公司电脑都要做好保护措施，鬼知道黑客会不会盯上你开始搞你。

有可能你在咖啡厅偶遇的一个妹子就会是一个黑客，正在利用社会工程学接近你，套取你的信息，以便破解个人电脑甚至公司机密。所以各位可要保护好自己的信息，被黑客钻了空子可就为时已晚咯。

由华盟网编辑翻译

原文链接：https://www.bleepingcomputer.com