超10万IP地址发起大规模攻击 僵尸网络瞄准RDP服务

一个大规模僵尸网络正通过超10万个IP地址，针对美国境内的远程桌面协议（RDP）服务发起攻击。该攻击活动始于10月8日，威胁监控平台GreyNoise的研究人员根据IP地址来源判断，此次攻击由一个跨多国的僵尸网络发起。

远程桌面协议（RDP）是一种支持远程连接并控制Windows系统的网络协议，通常供管理员、技术支持人员及远程办公人员使用。

攻击者常通过多种方式利用RDP实施攻击，包括扫描开放的RDP端口、暴力破解登录密码、利用协议漏洞，或发起时序攻击等。

攻击核心手段：两种RDP相关攻击方式，精准枚举用户账户

研究人员发现，此次僵尸网络主要依赖两种与RDP相关的攻击手法：

1. RD Web访问时序攻击：探测RD Web访问端点，在匿名认证流程中通过检测响应时间差异，推断出系统中的有效用户名；

2. RDP Web客户端登录枚举：与RDP Web客户端的登录流程交互，通过观察服务器行为及响应的差异，枚举系统中的用户账户。

GreyNoise最初通过巴西地区异常的流量激增发现该攻击活动，随后在更多国家和地区监测到类似攻击行为，涉及阿根廷、伊朗、墨西哥、俄罗斯、南非、厄瓜多尔等。该公司表示，僵尸网络中被劫持设备所在的国家/地区总数已超100个。

来自巴西的异常活动激增

几乎所有发起攻击的IP地址都拥有相同的TCP指纹；尽管部分IP的“最大分段大小”存在差异，但研究人员认为，这是由僵尸网络的不同集群导致的。

防御建议：阻断攻击IP+强化RDP安全配置

为抵御此类攻击，安全研究人员建议系统管理员应尽快采取以下措施：

·阻断发起攻击的IP地址，同时检查日志中是否存在可疑的RDP探测行为；

·核心防御原则：不要将远程桌面连接暴露在公网中，建议通过搭建虚拟专用网络、启用多因素认证等方式，为RDP访问增加额外安全层。