《Disney +》 迪士尼、Marvel、彼思、星球大戰…  USB高音質直播專用咪 「EPOS B20」使用評測   從新作到続篇!「PlayStation Showcase 2021」發表內容統整!   《Hood: Outlaws & Legends》——14大攻略助你展開完美行搶   潮牌Onitsuka Tiger聯乘山下智久 在YouTube開播電競節目TOMO’S GAME ROOM   《審判之逝》預購及發佈後詳情揭露   觀看1月22日「Resident Evil Showcase」直播節目   我要成為「PAC-ONE」!多人混戰小精靈「PAC-MAN 99」正式發布!   日本知名Cosplayer紫花菫於「Tales of」系列官方頻道參加演出! 

被入侵的香港 RDP 伺服器於 xDedic 地下市場銷售

商業
Kaspersky 的保安研究員於 2016 年 6 月 15 日公佈一個打擊「xDedic」地下市場的行動。xDedic 為一買賣被入侵的遠端桌面協定伺服器(RDP 伺服器)的平台,當中涉及香港的伺服器,HKCERT 正與 Kaspersky 跟進處理相關的伺服器。 tt xDedic 網站(來源:Kaspersky) 研究員發現被入侵的伺服器遍及世界各地,屬於企業、教育機構甚至政府部門。網絡罪犯透過此銷售平台出售被他們成功入侵的 RDP 伺服器,價格低至每部 US$6。 tt2 香港的伺服器亦被發現於 xDedic 銷售平台出售 HKCERT 取得 160 部被入侵的香港伺服器的 IP 地址,由於我們不清楚這些伺服器如何被罪犯利用,而操作這些伺服的機構亦很有可能已發生嚴重的資料外洩事故,包括洩露財務及敏感資料,我們已於今天通知相關 ISP,並建議 ISP 儘快通知這些客戶。 xDedic 平台出售的伺服器的保安風險 罪犯出售伺服器前會為買家(付款以控制這些被入侵伺服器的人)安裝以下軟件: 安裝於伺服器的軟件 保安影響 SCCLIENT 木馬及相關修補程式並修改登錄檔 買家會控制伺服器進行非法活動,例如欺詐交易、使用盗取的登入資料偽冒其他人登入網絡服務、發送垃圾郵件或進行 DDoS 攻擊。 暴力破解工具 暴力破解及入侵更多伺服器作出售用途 Bitcoin 開採工具 消耗處理效能 POS 惡意軟件(於相信為銷售系統終端的伺服器) 盗取如信用卡資料的財務資料 此外,買家亦可入侵伺服器所屬網絡內的其他電腦,因此受影響機構的其他電腦亦可能有資料外洩。 如何檢查伺服器被入侵用作買賣 若要確定伺服器是否被入侵用作買賣,可檢查是否受以下惡意軟件感染: SCCLIENT 木馬(/Windows/System32/scclient.exe),並登記為服務 xDedic Socks System(\AppData\Local\Temp\pxsrvc\pxsrvc.exe) 如 DUBrute 及 XPC 用作暴力破解其他伺服器的工具(被偵測為 Hacktool.Win32.Bruteforce) 請注意:由於不同買家對被入侵伺服器用途不一,就算你找不到上述惡意軟件,你仍需檢查伺服器會否受其他惡意軟件感染。 如何處理被入侵伺服器 若你收到通知或偵測到伺服器被入侵,請即時從網絡隔離該伺服器。 由於買家可於伺服器安裝任何軟件或作修改,就算你已移除任何惡意軟件,亦不能保證伺服器完全修復。我們建議刪除所有資料並重新安裝伺服器的操作系統。 若伺服器安裝處理財務或敏感資料的軟件,請評估財務或敏感資料外洩的風險,甚至考慮根據機構政策上報事故。 請檢查同一網絡內其他電腦。有需要時請評估這些電腦/伺服器資料外洩的風險,並執行緩解措施(例如掃描電腦、重設所有密碼等)。 防止涉及 RDP 伺服器的事故 除 xDedic 事故,我們不時收到與 RDP 伺服器相關個案(如勒索軟件感染)。以我們的經驗,這些事故都是由不安全的設定引起,例如不當的存取控制、弱密碼、沒限制的公共存取等。如果及早收緊保安設定,就可避免這些事故發生。HKCERT 敦促伺服器管理員採取措施,加強系統的保護,包括部署防火牆、執行最小的訪問權限、更改默認設置,設置較強密碼,並定期修補系統。以下是一些關於加強 RDP 伺服器保安的參考資料:

參考資料

  1. https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/
  2. https://kas.pr/G7k5 (PDF)
  3. https://msdn.microsoft.com/library/aa383015(v=vs.85).aspx
 
TechNow 當代科技

隨機商業新聞

Micorsoft