对暗网黑市廉价RDP销售商店的调查-安全客

前言

在研究地下黑客市场时，McAfee高级威胁研究小组发现一个与大型国际机场的安全和楼宇自动化系统有关的权限仅需10美元。

黑暗网络无所不含，人们可以从RDP商店购买权限登录到被黑客攻陷的机器上，甚至可以从那里购买登录到某些能够导致整个城市瘫痪的计算机系统的权限。

RDP是微软开发的一种专有协议，它允许用户通过图形界面访问另一台计算机，是系统管理员的一个强大工具。如果被错误的人利用，RDP可能会产生毁灭性的影响。最近针对几个美国机构的SamSam勒索软件攻击显示了RDP访问如何作为一个入口，攻击一个高价值的网络就像转入地下并进行简单的购买一样简单和廉价。像SamSam这样的网络罪犯只需花费最初的10美元就可以进行，并收取4万美元的解密赎金，这并不是一个糟糕的投资回报。

店铺解释

2013年，安全专家BrianKrebs撰写了这篇文章“非常愚蠢的密码（Really Dumb Passwords）”。这个简短的短语封装了RDP系统的漏洞。攻击者只需扫描互联网上接受RDP连接的系统，然后使用流行的工具(如Hydra、NLBrute或RDP Forcer)发起暴力攻击来获得访问权限。这些工具将密码字典与在最近的大型数据泄漏中被窃取的大量凭据结合在一起。五年后，RDP商店变得更大，更容易进入。

McAfee高级威胁研究小组考察了几家RDP商店，规模从15到40，000多个RDP权限，在Ultimate Anonymity Service(UAS/终极匿名服务)出售。UAS是一家俄罗斯公司，也是我们研究的最大的活跃商店。我们还查看了通过论坛搜索和聊天找到的小商店。在我们的研究过程中，我们注意到大商店的大小每天都在变化，大约有10%。我们研究的目标不是建立一个RDP商店的最终清单；相反，我们寻求更好地了解一般的操作方式、提供的产品和潜在的受害者。

几家RDP商店声称可供出售的受害系统的数量。单个受害系统可能出现在多个商店的列表中。

网络犯罪分子的RDP权限

网络罪犯如何滥用RDP权限？RDP被设计成一种访问网络的有效方式。通过利用RDP，攻击者无需创建复杂的网络钓鱼活动、恶意软件混淆、使用漏洞工具或担心防御软件，一旦攻击者获得访问权限，他们就在系统中。在搜寻地下罪犯时，我们发现了RDP商店推广的被黑的RDP机器的主要用途。

假旗：通过RDP权限创建错误向导是最常见的应用之一。在保持匿名的同时，攻击者可以让人觉得他的非法活动来自受害者的机器，实际上是为调查人员和安全研究人员插了一面假旗。攻击者可以通过在受害者的机器上编译恶意代码、故意创建错误调试路径和更改编译器环境跟踪来植入此标志。

垃圾邮件：就像垃圾邮件制造者使用巨大的僵尸网络(如NecrusandKelihos)一样，RDP访问在垃圾邮件发送者的子集中很受欢迎。我们发现出售的一些系统在群发邮件活动中得到了积极的推广，几乎所有的商店都提供免费的黑名单检查，看看这些系统是否被Spamhaus和其他反垃圾邮件组织标记过。

帐户滥用、凭证收集和勒索软件：通过RDP访问系统，攻击者可以获得系统上存储的几乎所有数据。这些数据可用于身份盗窃、帐户接管、信用卡欺诈和敲诈等。

数字货币：在McAfee实验室的最新威胁报告中，我们写道，由于数字货币的市场价值不断上升，非法的数字货币开采活动有所增加。我们发现几个犯罪论坛积极宣传利用RDP在受害机器上挖Monero币。

RDP商店概述

销售系统：广告系统从Windows XP到Windows 10不等。Windows 2008和2012 Server是使用最多的系统，分别有大约11，000和6，500个系统出售。价格从简单配置的3美元到提供管理员权限访问的高带宽系统的19美元不等。

第三方转售商：当比较几家RDP商店的“库存”时，我们发现相同的RDP机器在不同的商店出售，这表明这些商店充当了转售商的角色。

Windows嵌入式标准：现在称为Windows IOT，广泛应用于需要占用较少内存的各种系统中。这些系统可以应用于酒店瘦客户端，告示板，销售点(POS)系统，甚至停车收费表等等。

在提供的数以千计的RDP权限中，有些配置特别突出。我们在UASShop和BlackPass上发现了数百台配置相同的Windows嵌入式标准机器，所有这些机器都在荷兰。这种配置配备了1-GHz VIA Eden处理器。对这种配置的开放源码搜索显示，它最常用于瘦客户机和一些POS系统中。这些组合与荷兰的几个城市、住房协会和保健机构有关。

瘦客户端和POS系统常常被忽略，因为不经常更新，它们容易成为攻击者理想的后门目标。尽管这些系统的物理足迹很小，但不应低估这种系统受损的业务影响。正如我们从以前零售商利用未修补或易受攻击的POS系统的违规行为中所观察到的那样，损害远远超出了财务上的范围，包括客户的感知和长期的品牌声誉。关于我们发现的当前受影响的系统，McAfee已经通知了已确认的受害者，并正在努力进一步了解这些相同的Windows系统被破坏的原因和方式。

政府和卫生保健机构：我们还看到世界各地正在销售多种政府系统，包括那些与美国有关的系统，以及从医院和疗养院到医疗设备供应商的几十个与保健机构有关的联系。在3月的一篇博文中，高级威胁研究小组展示了不安全的医疗数据可能带来的后果，以及攻击者进入医疗系统后可能发生的情况。

其他待售产品

除了出售RDP，这些商店中的一些还提供活跃的社会保险号码、信用卡数据和网上商店登录信息的交易。我们研究的第二大RDP商店，BlackPass，提供了最广泛的产品。这些经纪人中最多产者提供一站式访问所有用于欺诈的工具：rdp访问权限、社会安全号码和其他建立贷款或开立银行账户的综合数据。

由于法律和道德原因，我们没有购买任何提供的产品。因此，我们不知道服务的质量。

RDP 勒索软件攻击方案

是否有可能使用RDP商店找到一个高价值受害者？高级威胁研究小组对这一理论进行了检验。通过利用RDP商店提供的大量权限，我们能够快速识别符合美国高价值目标形象的受害者。

我们在UASShop上发现了一台新发布的(4月16日)Windows Server 2008 R2标准机器。根据商店的描述，它属于美国的一个城市，只要花10美元，我们就可以获得这个系统的管理员权限。

UASShop隐藏了它提供销售的系统的IP地址中的最后两个八位数，并对完整地址收取少量费用。(我们没有为UAS或任何其他商店提供的任何服务付费。)为了定位正在出售的系统，我们通过Shodan.io使用以下查询在特定组织中搜索任何打开的RDP端口：

org:”City  XXX” port:”3389”

结果比我们预期的要令人震惊得多。Shodan搜索将65，536个可能的IP缩小到三个与我们的查询相匹配的IP。通过获得完整的IP地址，我们现在可以查找WHOIS信息，其中显示所有地址都属于一个主要的国际机场。这绝对不是你想在俄罗斯地下RDP商店里发现的东西，但事情变得更糟了。

问题更严重了

其中两个IP地址显示了可访问登录屏幕的截图。

仔细看一下屏幕截图，就会发现Windows配置(前一个屏幕)与RDP商店提供的系统完全相同。此系统上有三个可用的用户帐户，其中之一是管理员帐户。其他账户的名字一开始似乎并不重要，但经过几次开源搜索后，我们发现这些账户与两家专门从事机场安全的公司有关联，一家是安全和楼宇自动化公司，另一家是摄像头监控和视频分析公司。我们没有探索这些帐户的全部访问级别，但是这可以提供一个很大的立足点和通过使用如MimiKatz等工具实现网络横向移动。