Kaspersky 卡巴斯基的研究團隊GReAT(Global Research & Analysis Team)日前發表近二年的研究發現,其揭露了一個地下黑市網絡「xDedic」,其主要是販售多達70,624台、遍及全球的RDP伺服器(遠端桌面協定)的控制憑證及權限。
據資料顯示,xDedic在2014年開始營業,並且持續快速增長中;截至上月為止,xDedic共販售來自全球174個國家的70,624台伺服器,分別由416名不同的經銷商提供,成長幅度驚人。在GReAT所提供的資料中顯示,在大中華地區(中國大陸、臺灣和香港),包括政府、營運商、電商、醫院、房地產公司和學校等超過100家知名大型企業和ISP的伺服器受到感染,而在全球,甚至包括了諸多跨國公司受到感染,例如Google、Airbnb、AT&T、Amazon、Microsoft、Western Union、Apple、…等等,產業橫跨電子金融、線上博弈、ISP業者、…等等,影響層面十分廣泛。
其中,大量伺服器被用於託管或瀏覽常用的消費者網站和服務,有的還安裝了相應軟體用於處理廣告郵件、金融會計和銷售終端(PoS)等服務。網路罪犯不但可以利用這些伺服器發動針對其所有者基礎設施的攻擊,還能作為跳板,發動範圍更大的攻擊。而絕大多數伺服器的所有者,包括:政府機構、企業和學校等,對此還一無所知。
xDedic是一間俄語背景的網路犯罪組織,透過植入後門程式、系統漏洞、…等等方式取得RDP伺服器的admin控制權限,進而控制伺服器或是取得機密資料。
網路罪犯最低僅需支付6美元 (約合新台幣200元)就可在xDedic上購買一台伺服器的控制憑證及權限,可任意查看該伺服器的所有資料,或用其作為實施進一步攻擊的平台,包括發動針對性攻擊、惡意軟體攻擊、DDoS攻擊、釣魚攻擊、社交工程攻擊以及廣體攻擊等。
在6/16的線上會議中,Kaspersky 卡巴斯基的研究團隊GReAT 本來要透過xDedic黑市網站來實際示範購買權限的流程,不過因為xDedic已在新聞曝光便已經暫停提供服務,因此編者無法一探究竟。
而在會議中,Kaspersky 卡巴斯基的研究團隊人員也提供了幾個避免被駭之方法讓伺服器使用者參考,像是使用更高強度的密碼、持續更新管理系統Patch、使用可信任的資安管理方案、…等等,相信將可相當程度地避免受到影響。
更多詳細介紹:https://securelist.com/blog/rese ... d-servers-for-sale/
|