微軟：RDP暴力破解平均持續2-3天，成功率不低

微軟一項安全研究顯示，RDP協定密碼的暴力破解攻擊行動平均持續長達2-3天，顯示駭客願意花更久時間來嘗試，成功行動也不少見，呼籲企業IT管理員應留心可疑的登入意圖。

近來針對暴露於網際網路的Windows遠端桌面協定（remote desktop protocol，RDP）的攻擊行動遽增。攻擊者經常鎖定使用弱密碼或未用多因素驗證、VPN或其他安全防護的RDP伺服器。透過暴力破解，駭客就可以存取目標系統，進而安裝勒索軟體或挖礦程式。駭客經常是利用偷來的，或常見的administrator帳號密碼對單一或多個帳號嘗試登入，時間為期數秒到幾分鐘。去年微軟兩度針對RDP漏洞及開採攻擊，對企業發出警告。

為了了解RDP暴力破解攻擊，微軟7月底到8月初蒐集了4.5萬台跑Windows Defender ATP軟體的電腦資料，這些電腦都有RDP外部IP連線，並偵測到至少一次登入失敗（Event ID 4625）的情形，藉以分析可能的RDP非法簽入（sign-in）企圖。

根據分析，在偵測到暴力破解攻擊的機器裏，平均攻擊時間達2-3天，90%在1周以下，超過2周的不到5%。

外部連線多次簽入失敗，往往表示正遭受暴力破解攻擊，在微軟的樣本中，簽入失敗的次數90%超過1天10次，中位數則高達60次。研究人員還觀察到，駭客願意花好幾天時間拿較少量帳號／密碼組合進行嘗試，而非一次拿數百或數千個帳密組合來碰運氣，比過去速度更為放緩。

數據也顯示，在數百台偵測到RDP暴力破解的機器中，成功駭入的機率是0.08%。此外，為期數個月、遍及大中小型企業的電腦中，平均有1台機器有很高機率在3-4天的暴力破解裏遭到成功入侵。資料顯示，俄羅斯、英國及荷蘭，是RDP遭大量外部IP連線且機器遭暴力破解攻擊最多的前三名國家。

微軟指出，綜合上述資料顯示，成功的RDP暴力破解其實並不罕見，因此企業IT必須要提高警覺是否有可疑的連線或不尋常的簽入失敗情形。微軟建議偵測的指標包括：簽入失敗及RDP連線發生的時間點、一周之內哪一天；Event ID 4625登入型態及失敗原因；簽入失敗的帳戶次數統計；簽入失敗的次數；RDP外部IP連線次數等。