各單位注意！8.5萬台伺服器正在地下黑市xDedic售賣

E安全4月26日訊被稱為專屬於黑客的e-Bay平台，暗網最大、最具破壞力的黑市xDedic上，經常有各路網路犯罪分子在這上面售賣RDP伺服器的訪問許可權，政府和企業近期提高警惕了。

6個月之前，商業風險情報公司Flashpoint發現，xDedic黑市在售賣包含8.5萬餘個組織機構信息的數據集。

網路犯罪分子通過xDedic購買被攻擊的遠程桌面協議（Remote Desktop Protocol，RDP）伺服器的訪問權，這些伺服器為入侵在線系統提供了便捷方式，尤其具有遠程IT人員的公司。

E安全小編註：RDP是Microsoft的專用協議，允許用戶連接至網路上的其它設備，幫助管理員遠程控制伺服器和PC。

Flashpoint研究總監維塔利-科瑞米茲表示，該公司已經持續觀察xDedic兩年以上。自2014年xDedic一直在運作，入侵企業的RDP伺服器，並在網上轉售登錄憑證的網路犯罪分子中間建立了聲譽。

設置弱口令的伺服器最易遭到攻擊

科瑞米茲解釋稱，黑客首先會掃描網路尋找連接到Microsoft遠程桌面協議的特定介面，從而獲得RDP訪問許可權。識別具有開放埠的伺服器後，黑客強力測試用戶名和密碼，直到用戶名和密碼匹配。

一旦取得訪問許可權，黑客便會在黑市出售伺服器，並升級管理員許可權。任何購買登錄憑證的買家都可以進入企業網路，從而竊取數據，升級許可權，發起外部攻擊，部署勒索軟體，植入惡意軟體，操控網路設置，並接管賬號。

科瑞米茲指出，這種入侵策略對於設置簡短、低複雜度的弱口令的伺服器最有效。那麼這對強密碼就無效么？當然不是！大型殭屍網路仍然可以幫助攻擊者獲取RDP訪問許可權。

為什麼醫療和教育行業最易遭到攻擊？

科瑞米茲解釋了威脅攻擊者「thedarkoverlord」（因入侵保健機構而臭名昭著）如何使用這類數據集展開攻擊。醫療保健行業是遭遇攻擊較為頻繁的行業之一，其原因在於醫療行業通常開放RDP的訪問權，而這可以為網路犯罪分子提供有價值的數據。

該公司調查了醫療保健行業遭遇的數據泄露事件，他們注意到大量醫院因暴露的RDP伺服器遭遇入侵。

包含超過8.5萬個伺服器信息的數據集體現了受黑客歡迎的目標行業。據分析，最易被利用的行業為：教育、醫療保健、法律、航空和政府。遭遇黑客攻擊最頻繁的國家為美國、德國和烏克蘭。

科瑞米茲指出，相比較而言，教育行業最不安全，最易遭受攻擊。黑客通過暴力攻擊極易入侵大學的網路。由於大學和醫療保健機構都具有信息共享機制，藉此他們可以共享攻擊相關信息，並改進信息安全程序。

科瑞米茲認為，xDedic黑市帶來的威脅將繼續增加，尤其「影子經紀人」（Shadow

Brokers）最近曝光一系列NSA黑客工具之後。如果網路犯罪繼續開發工具，並利用曝光文件中的漏洞利用，一旦將訪問權擴散到其它網路，破壞性會更大。這些漏洞利用的影響力雖然不及零日漏洞，但仍具危險性。

E安全小編建議企業：

• 禁止外部訪問伺服器

• 保持適當的訪問控制

• 經常修改密碼

• 設置複雜的強密碼

雖然部署在線可用的伺服器（遠程桌面網關伺服器等）為技術人員帶來便利，但其危險性不容忽視，因為網路犯罪分子通常會試圖通過外部可訪問RDP伺服器強力獲取訪問許可權。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。