攻击规模急剧扩大
报告显示:8月21日,GreyNoise观察到针对微软RDP服务的扫描活动突然激增。近2000个IP地址(其中绝大多数已被标记为恶意地址)同时探测了微软RD Web Access和RDP Web Client的认证门户。
最初在8月21日出现的异常活动很快演变为全球性攻击浪潮。8月24日,超过3万个独立IP同时触发了微软RD Web Access和RDP Web Client的监测标签,其中大部分与8月21日攻击活动的客户端特征相同。这一数字远超日常3-5个IP的基准水平,表明攻击者正在协调数千个节点实施同步行动。
攻击手法解析
此次攻击主要聚焦于时序攻击(timing attack)和登录枚举。GreyNoise解释称:"攻击者的目标非常明确:通过检测响应时间差异来识别有效用户名,为基于凭证的入侵奠定基础。"攻击者通过测量认证响应的细微时间差,可以确认哪些账户真实存在——这是发起凭证填充(credential stuffing)、密码喷洒(password spraying)或暴力破解攻击的关键前置步骤。
数据分析显示:
1971个IP中有1851个具有相同客户端特征,表明可能使用同一工具集或僵尸网络模块
其中92%的IP已在GreyNoise系统中被标记为恶意地址
攻击源主要来自巴西(约73%),美国成为主要目标
教育机构成高危目标
攻击时间点的选择颇具深意。"8月21日正值美国返校季,各大学校和K-12教育机构会启用基于RDP的实验室和远程访问系统,并创建数千个新账户。这些环境通常使用可预测的用户名格式(如学号、姓名.姓氏),使得账户枚举更易得手。"这种时间上的契合表明,攻击者正刻意利用教育机构网络安全最薄弱的季节性窗口。
长期威胁预警
即便不利用特定漏洞,此类侦察活动也极具价值。GreyNoise警告称:一个规模庞大、特征统一的恶意扫描集群正在系统化探测微软RDP认证接口的账户发现漏洞。即便不立即实施攻击,这些侦察结果也可直接用于后续的凭证填充、密码喷洒或其他形式的漏洞利用。值得注意的是,GreyNoise强调,在80%的历史案例中,针对某项技术的攻击活动激增后,六周内往往会出现新漏洞的披露。
参考来源:
A Storm Is Coming: A Massive Coordinated Attack Is Probing RDP Connections