隨著充滿活力的勞動力的興起，IT 團隊被迫比以往任何時候都更加依賴遠程訪問。現在有近 500 萬臺遠程桌面協議 (RDP) 服務器暴露在互聯網上，比大流行之前增加了約 200 萬臺。遠程桌面是大多數公司的基本功能，但經常被網絡犯罪分子利用。攻擊者試圖操縱整個城市供水中的化學物質濃度的佛羅里達水廠事件等事件表明，這種網絡威脅的后果是多么致命。

上個月，在亞太地區的一家科技公司檢測到服務器端攻擊。黑客暴力破解了 RDP 服務器，并試圖在整個組織中傳播。及早發現此漏洞對于阻止網絡犯罪分子創建僵尸網絡并使用它造成嚴重破壞至關重要，可能會發起勒索軟件或分布式拒絕服務 (DDoS) 攻擊。

如何制作僵尸網絡

只需要一個易受攻擊的 RDP 服務器，威脅行為者就可以在組織中獲得初步立足點并橫向傳播以建立他們的僵尸網絡軍隊。僵尸程序只是受感染的設備，可以由惡意第三方控制；一旦積累了這些主機的網絡，黑客就可以執行一系列操作，包括：

• 泄露用戶憑證和支付數據
• 將木馬惡意軟件上傳到服務器，這會在偽裝成合法軟件的同時打開系統后門
• 部署勒索軟件，如去年在Dharma 攻擊中所見
• 將公司基礎設施的訪問權出租給其他威脅參與者
• 使用僵尸設備的 CPU挖掘加密貨幣

事實上，一旦攻擊者獲得了對這些設備的遠程訪問權限，幾乎沒有什么是做不到的。僵尸網絡惡意軟件往往包含自我更新功能，允許所有者添加或刪除功能。而且由于攻擊者使用合法的管理 RDP 憑據，傳統安全工具很難檢測到這種惡意活動，直到為時已晚。

出租 DDoS：一家網絡犯罪企業

近年來，網絡犯罪的交易蓬勃發展，使事情進一步復雜化。現在，在暗網上可以輕松獲得基于訂閱和租賃的模型，用于從勒索軟件即服務到私人數據拍賣等一系列非法活動。因此，攻擊者感染服務器并在線銷售這些機器人的使用變得越來越普遍。租用 DDoS 服務以每小時 20 美元的價格提供對僵尸網絡的訪問。事實上，其中一些工具包甚至是合法的，并將自己作為“IP 壓力源”或“引導程序”進行營銷，可以合法地用于測試網站的彈性，但經常被利用并用于關閉網站和網絡。

這些發展引發了 DDoS 和僵尸網絡惡意軟件攻擊的新浪潮，因為黑客利用額外的經濟激勵來創建僵尸網絡并在暗網上出租它們。“僵尸網絡構建器”工具通過提供僵尸網絡惡意軟件并協助初始感染來幫助低技能攻擊者創建機器人。由于這些工具包的出現，復雜的 RDP 攻擊蓬勃發展，降低了此類攻擊的技能門檻，從而使其廣泛可用。

顯微鏡下的自動 RDP 攻擊

一家托管在線游戲網站的面向 Internet 的 RDP 服務器最近在一家擁有大約 500 臺設備的網絡上的技術公司遭到入侵。攻擊者使用蠻力收集正確的密碼并獲得對桌面的遠程訪問。正是在這一點上，Cyber?? AI開始從罕見的外部位置檢測到異常的管理 RDP 連接。

在許多方面，此事件是典型的 RDP 妥協。憑證暴力破解是服務器端攻擊的常見初始載體，此外還有憑證填充和漏洞利用。在這種情況下，攻擊者可能計劃利用暴露的服務器作為感染其他內部和外部設備的支點，可能會創建一個僵尸網絡以供雇傭或泄露敏感信息。

在此攻擊后大約 14 小時，攻擊者從稀有域下載了多個文件。在接下來的 18 小時內，攻擊者使用易受攻擊的 SMBv1 協議在端口 445 上進行了超過 440 萬次內部和外部連接嘗試。這些嘗試中的大多數是使用憑據“管理員”的 SMB 會話失敗。服務器與超過 270 個內部和外部 IP 地址成功地進行了 SMB 會話。

與通常內部使用的端口上的罕見但良性位置的傳出連接可能與特定的攻擊配置文件不匹配，這意味著它們會被基于簽名的安全工具遺漏。然而，盡管缺乏對多個文件下載源的威脅情報，人工智能還是能夠觀察到活動的極不尋常的性質，從而實現高可信度的檢測。

僵尸網絡惡意軟件和自動化

此事件中的移動速度和缺乏數據泄露表明攻擊是自動化的，可能是在僵尸網絡構建器工具的幫助下進行的。如果在初始階段沒有提醒安全團隊，使用自動化來加速和掩蓋漏洞可能會導致嚴重后果。

針對面向 Internet 的 RDP 服務器的攻擊仍然是最常見的初始感染媒介之一。隨著自動掃描服務和僵尸網絡惡意軟件工具的興起，入侵的難易程度猛增。暴露的服務器被利用只是時間問題。此外，高度自動化的攻擊會不斷運行，并且可以在整個組織中迅速傳播。在這種情況下，讓安全團隊盡快了解設備上的惡意活動至關重要。

AI 不僅可以自行確定感染源自特定 RDP 服務器，它還實時檢測到攻擊的每一步，盡管缺乏明確的現有簽名。自學習 AI 檢測數字環境中用戶和設備的異常活動，因此對于以機器速度關閉威脅至關重要。此外，企業免疫系統提供的可見性極大地減少了攻擊面并識別維護不善的影子 IT，為數字業務提供了額外的安全層。