RDP攻击者可能比您想象得更近 – 下文将为您介绍，滥用RDP协议类攻击的演变历程。随着新冠肺炎疫情的全球蔓延，我们当中有很多人，包括我自己在内，都不得不转入全时居家办公。ESET公司的许多员工已经习惯了部分时间远程工作，因为这实际上只意味着扩大现有资源供给，以满足新涌入的远程办公人员的工作需求，比如购买更多的笔记本电脑和VPN服务等。 

但对于世界各地的许多企业而言，情况却并非如此。这些企业要么必须从零入手，为远程办公人员设置访问权限，要么需要大幅扩充RDP服务器容量，以吸纳来自大量用户的并发远程访问需求。  

大约在发生这一转变的同时，ESET又一次发布了《全球威胁报告》，其中最值得关注的一件事就是RDP攻击数量持续增长。根据我司2022 年前四个月威胁报告中的统计数据，在此期间的RDP攻击数量超过 1000 亿次。显然有必要重新审视，过去几年中开发的RDP 攻击手段及其可能造成的冲击，并借此机会反馈ESET利用威胁情报和遥测技术监测到的实际情况。

RDP攻击的演变历程是怎样的？

我们探讨了近几年RDP攻击的演变历程。我想分享的一个观点是，并非每一款漏洞的受攻击数量都在增多。有一款漏洞，ESET 发现其受攻击次数显着减少：

•利用RDP漏洞实施攻击的BlueKeep蠕虫（CVE-2019-0708）检测量，从 2020年峰值下降了44%。我们将这一显著的下降归咎于此二者的综合成效：用户对存在漏洞的Windows版本打了补丁，加上网络层面防渗透保护力度的加强。

图片

图1. “BlueKeep”蠕虫（CVE-2019-0708）全球检测量（信息源：ESET遥测数据）

经常听到人们对计算机安全公司的抱怨之一就是，总是长篇大论地讨论信息安全如何变得更糟、没有改善，鲜有好消息反馈，即便有也是昙花一现。其中有些批评有一定的道理，但信息安全始终是一个持续渐进的过程：新的威胁总会不断出现。在这点意义上，针对BlueKeep等漏洞的攻击次数随时间推移而逐渐减少，是个好消息。但同时RDP仍在被广泛使用，这就意味着攻击者将不断探寻可以利用的漏洞并用来发起攻击。 

为使某一类攻击手段彻底消失，就必须阻断相关漏洞的所有潜在利用途径。我还记得，上一次看到堪称影响深远的实例，就是2009年微软发布Windows 7时，就在系统中禁用了对AutoRun（AUTORUN.INF）的支持。微软随后将这一调整反向移植到先前发布的所有Windows系统，尽管第一次做得并不完美。AutoRun是自1995 年Windows 95发布以来系统自带的一项功能，后遭到严重滥用并大肆传播Conficker等蠕虫。基于AUTORUN.INF的蠕虫感染率，曾一度占到ESET防毒软件检测量的近四分之一。今天，它所占的检测量还不到千分之一。

与AutoPlay不同，如今RDP仍然是 Windows系统的一项常用功能，虽然针对其漏洞的一次性攻击数量有所减少，但这并不意味着整体攻击总量在下降。事实上，RDP漏洞的利用次数已大幅增加，这也可以用来解释BlueKeep 检测量减少的另一种可能性：其他 RDP 漏洞攻击途径可能更有效，使攻击者已经改弦易辙。

从2020年初到2021年底的两年数据来看，似乎与这一分析相吻合。在此期间，据ESET 遥测数据显示，恶意RDP尝试连接次数大幅增加。攀升幅度有多大？仅2020年第一季度的尝试连接次数就有19.7 亿次之多。到2021年第四季度，这一数字跃升至1663.7亿次，增幅超过8,400%！

图 2. 全球范围内检测到的恶意 RDP 尝试连接次数（取近似值）（信息源：ESET 遥测数据）

显然，攻击者发现入侵各类组织机构计算机系统的价值，无论是从事间谍活动、植入勒索病毒还是一些其他犯罪行为，都可以带来丰厚收益。但是从另一个角度来看，此类攻击是可以预防的。

SMB攻击的新数据

除RDP攻击数据集之外，遥测系统还为我们意外提供了有关服务器消息块（SMB）的尝试攻击数据。SMB可以看作RDP的配套协议，因为它允许在RDP会话期间远程访问文件、打印机和其他网络资源。2017 年公布的永恒之蓝蠕虫（即EternalBlue，CVE-2017-0144），就是利用SMB协议漏洞作祟的。据ESET遥测系统统计，利用此漏洞的攻击数量在2018年、2019年和 2020年间持续增长。

图片

图 3. 全球范围内的“永恒之蓝”（CVE -2017-0144）检测数量（信息源：ESET 遥测数据）

“永恒之蓝”利用的漏洞，仅存在于SMB第一版中。该协议版本可以追溯到二十世纪九十年代。但由于SMB第一版已在操作系统和联网设备中广泛运用了数十年，直到2017年微软才开始发布默认禁用SMB第一版的Windows系统版本。

从2020年底到2021年，ESET发现利用“永恒之蓝”漏洞入侵系统的次数显着减少。与 BlueKeep 一样，ESET 将检测数量的下降归咎于用户习惯给系统打补丁、网络安全防护水平的提高，以及SMB第一版用量的减少。

最后的想法

需要注意的是，本文中提供的这些信息，都是从ESET遥测系统中采集的。无论任何时候，用户在使用恶意程序遥测数据时，都必须结合以下附加条件才能正确加以理解：

1.用户可以选择，是否与ESET共享威胁遥测数据；如果客户没有连接到ESET的LiveGrid®系统或不与ESET共享匿名统计数据，那么我们将不会收到ESET 装机软件的任何检测信息。

2.针对RDP和SMB恶意活动的检测，是通过 ESET 多层防御技术实现的，涵盖防僵尸网络、防暴力破解、防网络攻击等组件。并非ESET全系列产品都具备这些保护层，比如ESET NOD32 Antivirus旨在为家庭用户提供基本恶意软件防护，就不具备上述保护层。ESET Internet Security和ESET Smart Security Premium，以及 ESET专门面向企业用户推出的终端系列防护软件中都内置了前述保护层。

3.尽管论文拟定过程中并没有使用ESET 威胁报告，但它却提供了地区或国家级地理统计数据。GeoIP地理位置检索是科学与创意的结合，因为VPN的使用以及IPv4块所有权的快速变化等因素，都可能对定位准确性产生影响。

4.众所周知，ESET是资安领域的众多捍卫者之一。遥测系统告诉我们，安装ESET软件后的防护数据，但ESET却无法了解其他资安产品用户的情况。

由于诸多这样的因素，绝对攻击数量应高于我们借助ESET遥测系统了解到的数量。也就是说，我们相信遥测系统可以准确地反映整体情况；无论是各类攻击检测数量的总体增减比例，还是ESET研判的攻击趋势，很可能就整个安全产业而言都具有代表性。