Barracuda新發布的威脅聚焦報告探討了過去一年中最常遭受攻擊者瞄準的遠端桌面工具,以及使入侵者能夠取得訪問權限的安全漏洞。這份報告的發現顯示,根據Barracuda的數據,去年所有遠端桌面專用接點的流量中,虛擬網絡運算 (VNC) 無疑是最常遭受攻擊的遠端桌面工具,佔比高達 98%。
VNC 是跨平臺的,讓使用者和裝置連接到不同作業系統的伺服器。VNC 在像是公共事業等關鍵基礎設施行業中獲大量使用,而這些行業正成為網絡攻擊的熱門目標。
針對包括 VNC 在內的遠端桌面軟體的最簡單而普遍的攻擊方式,就是濫用弱密碼、重複使用的密碼和/或從釣魚攻擊得來的認證資料。這讓攻擊者能夠立即取得使用者所擁有的系統訪問權限。遠端桌面軟體的實用場景也可能會存在軟體漏洞,以及技術支援詐騙等漏洞。
要準確鎖定 VNC 攻擊的來源地是很困難的,因為許多攻擊者會使用代理伺服器或 VPN 以掩蓋其真實來源。不過在這個限制下,似乎約六成針對 VNC 的惡意流量均來自中國。
次要的目標工具是遠端桌面協定(RDP),佔約 1.6% 偵測到的攻擊嘗試。RDP 是微軟為遠端桌面使用而開發的較為常見的專有協定。
針對網絡和數據的較大規模攻擊,更可能涉及 RDP 而非 VNC。舉例說,RDP 攻擊通常用於部署惡意軟體,常見例子如勒索軟體或加密挖礦程式,或是將易受攻擊的裝置納入 DDoS 攻擊目標。RDP 也被用於微軟支援詐騙(語音/電話釣魚)攻擊,旨在欺騙目標相信他們的裝置出現技術問題,需要讓攻擊者透過 RDP 訪問來進行修復。
其他遭受攻擊者瞄準的遠端桌面工具還包括 TeamViewer、獨立運算架構 (ICA)、AnyDesk 和 Splashtop Remote。
Barracuda建議實施縱深防禦安全解決方案,以偵測網絡上可疑接點的流量。這方案應該配合強大的安全政策和計畫,例如限制只有需要遠端服務訪問權限的人員,使用如 VPN 等安全連接,並定期更新軟體修補最新漏洞。身份驗證方法應包括使用強密碼,並至少實施多重身份驗證 (MFA),理想情況下則應轉向零信任方法。
