微软：RDP暴力破解平均持续2-3天，成功率不低

微软一项安全研究显示，RDP协定密码的暴力破解攻击行动平均持续长达2-3天，显示骇客愿意花更久时间来尝试，成功行动也不少见，呼吁企业IT管理员应留心可疑的登入意图。

近来针对暴露于互联网的Windows远端桌面协定（remote desktop protocol，RDP）的攻击行动遽增。攻击者经常锁定使用弱密码或未用多因素验证、VPN或其他安全防护的RDP服务器。透过暴力破解，骇客就可以存取目标系统，进而安装勒索软件或挖矿程式。骇客经常是利用偷来的，或常见的administrator账号密码对单一或多个账号尝试登入，时间为期数秒到几分钟。去年微软两度针对RDP漏洞及开采攻击，对企业发出警告。

为了了解RDP暴力破解攻击，微软7月底到8月初搜集了4.5万台跑Windows Defender ATP软件的电脑资料，这些电脑都有RDP外部IP连线，并侦测到至少一次登入失败（Event ID 4625）的情形，藉以分析可能的RDP非法签入（sign-in）企图。

根据分析，在侦测到暴力破解攻击的机器里，平均攻击时间达2-3天，90%在1周以下，超过2周的不到5%。

外部连线多次签入失败，往往表示正遭受暴力破解攻击，在微软的样本中，签入失败的次数90%超过1天10次，中位数则高达60次。研究人员还观察到，骇客愿意花好几天时间拿较少量账号／密码组合进行尝试，而非一次拿数百或数千个帐密组合来碰运气，比过去速度更为放缓。

数据也显示，在数百台侦测到RDP暴力破解的机器中，成功骇入的概率是0.08%。此外，为期数个月、遍及大中小型企业的电脑中，平均有1台机器有很高概率在3-4天的暴力破解里遭到成功入侵。资料显示，俄罗斯、英国及荷兰，是RDP遭大量外部IP连线且机器遭暴力破解攻击最多的前三名国家。

微软指出，综合上述资料显示，成功的RDP暴力破解其实并不罕见，因此企业IT必须要提高警觉是否有可疑的连线或不寻常的签入失败情形。微软建议侦测的指标包括：签入失败及RDP连线发生的时间点、一周之内哪一天；Event ID 4625登入型态及失败原因；签入失败的账户次数统计；签入失败的次数；RDP外部IP连线次数等。