編集部實機測試!手把手教你初期設定「PlayStation 5」   CASIO VINTAGE × PAC-MAN 復古又俏皮的電子錶登場!   趴著睡、仰著睡都好眠的電競枕頭!Bauhutte「可洗長枕 BHB-1000P」新發售!   新《Resident Evil Village》遊戲畫面充分展現戰鬥、反派與環境   《暗影火炬城》標誌性兔子主角雷德文的設計花絮   透過Nintendo Switch 試玩同樂會來免費試玩「Steam World Dig2」吧!   《超級機器人大戰》系列30周年紀念最新作《超級機器人大戰30》將於PS4登場!本日公開官方網站及遊戲前導宣傳影片!   HYDE全面監製!個人活動20週年紀念遊戲「HYDE RUN」啟動! 

被入侵的香港 RDP 伺服器於 xDedic 地下市場銷售

商業
Kaspersky 的保安研究員於 2016 年 6 月 15 日公佈一個打擊「xDedic」地下市場的行動。xDedic 為一買賣被入侵的遠端桌面協定伺服器(RDP 伺服器)的平台,當中涉及香港的伺服器,HKCERT 正與 Kaspersky 跟進處理相關的伺服器。 tt xDedic 網站(來源:Kaspersky) 研究員發現被入侵的伺服器遍及世界各地,屬於企業、教育機構甚至政府部門。網絡罪犯透過此銷售平台出售被他們成功入侵的 RDP 伺服器,價格低至每部 US$6。 tt2 香港的伺服器亦被發現於 xDedic 銷售平台出售 HKCERT 取得 160 部被入侵的香港伺服器的 IP 地址,由於我們不清楚這些伺服器如何被罪犯利用,而操作這些伺服的機構亦很有可能已發生嚴重的資料外洩事故,包括洩露財務及敏感資料,我們已於今天通知相關 ISP,並建議 ISP 儘快通知這些客戶。 xDedic 平台出售的伺服器的保安風險 罪犯出售伺服器前會為買家(付款以控制這些被入侵伺服器的人)安裝以下軟件: 安裝於伺服器的軟件 保安影響 SCCLIENT 木馬及相關修補程式並修改登錄檔 買家會控制伺服器進行非法活動,例如欺詐交易、使用盗取的登入資料偽冒其他人登入網絡服務、發送垃圾郵件或進行 DDoS 攻擊。 暴力破解工具 暴力破解及入侵更多伺服器作出售用途 Bitcoin 開採工具 消耗處理效能 POS 惡意軟件(於相信為銷售系統終端的伺服器) 盗取如信用卡資料的財務資料 此外,買家亦可入侵伺服器所屬網絡內的其他電腦,因此受影響機構的其他電腦亦可能有資料外洩。 如何檢查伺服器被入侵用作買賣 若要確定伺服器是否被入侵用作買賣,可檢查是否受以下惡意軟件感染: SCCLIENT 木馬(/Windows/System32/scclient.exe),並登記為服務 xDedic Socks System(\AppData\Local\Temp\pxsrvc\pxsrvc.exe) 如 DUBrute 及 XPC 用作暴力破解其他伺服器的工具(被偵測為 Hacktool.Win32.Bruteforce) 請注意:由於不同買家對被入侵伺服器用途不一,就算你找不到上述惡意軟件,你仍需檢查伺服器會否受其他惡意軟件感染。 如何處理被入侵伺服器 若你收到通知或偵測到伺服器被入侵,請即時從網絡隔離該伺服器。 由於買家可於伺服器安裝任何軟件或作修改,就算你已移除任何惡意軟件,亦不能保證伺服器完全修復。我們建議刪除所有資料並重新安裝伺服器的操作系統。 若伺服器安裝處理財務或敏感資料的軟件,請評估財務或敏感資料外洩的風險,甚至考慮根據機構政策上報事故。 請檢查同一網絡內其他電腦。有需要時請評估這些電腦/伺服器資料外洩的風險,並執行緩解措施(例如掃描電腦、重設所有密碼等)。 防止涉及 RDP 伺服器的事故 除 xDedic 事故,我們不時收到與 RDP 伺服器相關個案(如勒索軟件感染)。以我們的經驗,這些事故都是由不安全的設定引起,例如不當的存取控制、弱密碼、沒限制的公共存取等。如果及早收緊保安設定,就可避免這些事故發生。HKCERT 敦促伺服器管理員採取措施,加強系統的保護,包括部署防火牆、執行最小的訪問權限、更改默認設置,設置較強密碼,並定期修補系統。以下是一些關於加強 RDP 伺服器保安的參考資料:

參考資料

  1. https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/
  2. https://kas.pr/G7k5 (PDF)
  3. https://msdn.microsoft.com/library/aa383015(v=vs.85).aspx
 
TechNow 當代科技

隨機商業新聞

PureVPN