互联网情报公司 GreyNoise 报告称鑫耀证券,其已记录到扫描活动出现显著激增的情况——有近 1971 个 IP 地址同步探测微软远程桌面 Web 访问(Microsoft Remote Desktop Web Access)及 RDP Web 客户端的认证入口,这一现象暗示可能存在协同的侦察攻击行动。
研究人员表示,这种活动规模已出现巨大变化,以往每天通常仅观测到 3-5 个 IP 地址进行此类扫描。
GreyNoise 指出,这波扫描是在测试可用于验证用户名的时间上的漏洞鑫耀证券,为后续基于凭据的攻击,如暴力破解或密码喷洒攻击做准备。
当系统或请求的响应时间无意中泄露敏感信息的情况时,就会出现时间上的漏洞。在此场景中,当 RDP 对使用有效用户名与无效用户名的登录尝试做出响应时,若存在细微的时间差异,攻击者就可能据此推断该用户名是否正确。
GreyNoise 还提到,有 1851 个 IP 地址具有相同的客户端特征鑫耀证券,其中约 92% 已被标记为恶意 IP。这些 IP 地址主要源自巴西,且攻击目标为美国的 IP 地址,这表明可能是单个僵尸网络或同一工具集中实施扫描。
研究人员称,此次攻击的时间与美国返校季相重合,此时学校和高校可能正将其 RDP 系统重新接入网络。这个时间点或许并非偶然。
执行 Microsoft RDP web 客户端登录攻击的唯一 IP 地址
8 月正值美国的返校期,高校及 K-12 学校会将由 RDP 支持的实验室和远程访问系统重新上线,并新增数千个账户。这些环境通常采用可预测的用户名格式(如学生证号、名姓),这使得用户名攻击的效果更佳。再加上预算限制以及入学期间对访问便利性的优先考量,安全暴露风险可能会急剧上升。
不过,此次扫描活动的激增也可能意味着新的漏洞已被发现,因为 GreyNoise 此前发现,恶意流量的激增往往发生在新漏洞披露之前。
负责管理 RDP 入口及暴露设备的 Windows 管理员应确保其账户通过多因素认证得到妥善保护鑫耀证券,如有可能,应将这些设备置于 VPN 之后。
鑫东财配资提示:文章来自网络,不代表本站观点。
- 上一篇:富盈网 刘诗诗近况曝光,脸凹眼垂瘦成皮包骨,大街上来回走动摆拍很抢镜
- 下一篇:没有了
相关文章
沪深京指数
热点资讯
推荐资讯
