セキュリティ研究者が、米国のリモートデスクトッププロトコルサービスを標的とした大規模なボットネットキャンペーンを発見しました。
Profit_Image – shutterstock.com
セキュリティプロバイダーGreyNoiseの研究者は最近、100カ国以上、10万以上のIPアドレスから発信された大規模な攻撃の波を発見しました。アナリストたちは、この攻撃が単一の大規模なボットネットによるものと見ています。調査報告によると、このキャンペーンの背後にいる攻撃者は主に米国のRDP(リモートデスクトッププロトコル)インフラを標的にしています。
2つの攻撃ベクトル
セキュリティ専門家によると、脆弱なシステムを特定し侵害するために2つの特殊な攻撃手法が使用されました。1つ目はRD-Web-Accessタイミング攻撃です。この方法では、攻撃者がサーバーのログイン試行への応答時間を測定し、有効・無効なユーザー名を匿名で特定します。
2つ目の攻撃手法はRDP Webクライアントログイン列挙です。これはユーザーの認証情報を体系的に推測するものです。両方の手法により、ボットネットは即座に標準的なセキュリティ警告を発生させることなく、悪用可能なRDPアクセスポイントを効率的に探すことができます。
対策
GreyNoiseは、組織に対し、異常なRDPアクセスやログイン失敗試行がないかセキュリティプロトコルを積極的に確認するよう推奨しています。また、同社は「microsoft-rdp-botnet-oct-25」という名前の動的ブロックリストテンプレートを作成し、自社プラットフォームで提供しています。
これにより、ユーザーはボットネットと関連する既知のIPアドレスを自動的にすべてブロックすることができます。これによってネットワークの境界で攻撃を効果的に阻止することが期待されています。
翻訳元: https://www.csoonline.com/article/4071550/hacker-nutzen-100-000-ip-adressen-fur-rdp-angriffe.html
