Kaspersky 的保安研究員於 2016 年 6 月 15 日公佈一個打擊「xDedic」地下市場的行動。xDedic 為一買賣被入侵的遠端桌面協定伺服器(RDP 伺服器)的平台,當中涉及香港的伺服器,HKCERT 正與 Kaspersky 跟進處理相關的伺服器。
xDedic 網站(來源:Kaspersky)
研究員發現被入侵的伺服器遍及世界各地,屬於企業、教育機構甚至政府部門。網絡罪犯透過此銷售平台出售被他們成功入侵的 RDP 伺服器,價格低至每部 US$6。
香港的伺服器亦被發現於 xDedic 銷售平台出售
HKCERT 取得 160 部被入侵的香港伺服器的 IP 地址,由於我們不清楚這些伺服器如何被罪犯利用,而操作這些伺服的機構亦很有可能已發生嚴重的資料外洩事故,包括洩露財務及敏感資料,我們已於今天通知相關 ISP,並建議 ISP 儘快通知這些客戶。
xDedic 平台出售的伺服器的保安風險
罪犯出售伺服器前會為買家(付款以控制這些被入侵伺服器的人)安裝以下軟件:
安裝於伺服器的軟件 保安影響
SCCLIENT 木馬及相關修補程式並修改登錄檔 買家會控制伺服器進行非法活動,例如欺詐交易、使用盗取的登入資料偽冒其他人登入網絡服務、發送垃圾郵件或進行 DDoS 攻擊。
暴力破解工具 暴力破解及入侵更多伺服器作出售用途
Bitcoin 開採工具 消耗處理效能
POS 惡意軟件(於相信為銷售系統終端的伺服器) 盗取如信用卡資料的財務資料
此外,買家亦可入侵伺服器所屬網絡內的其他電腦,因此受影響機構的其他電腦亦可能有資料外洩。
如何檢查伺服器被入侵用作買賣
若要確定伺服器是否被入侵用作買賣,可檢查是否受以下惡意軟件感染:
SCCLIENT 木馬(/Windows/System32/scclient.exe),並登記為服務
xDedic Socks System(\AppData\Local\Temp\pxsrvc\pxsrvc.exe)
如 DUBrute 及 XPC 用作暴力破解其他伺服器的工具(被偵測為 Hacktool.Win32.Bruteforce)
請注意:由於不同買家對被入侵伺服器用途不一,就算你找不到上述惡意軟件,你仍需檢查伺服器會否受其他惡意軟件感染。
如何處理被入侵伺服器
若你收到通知或偵測到伺服器被入侵,請即時從網絡隔離該伺服器。
由於買家可於伺服器安裝任何軟件或作修改,就算你已移除任何惡意軟件,亦不能保證伺服器完全修復。我們建議刪除所有資料並重新安裝伺服器的操作系統。
若伺服器安裝處理財務或敏感資料的軟件,請評估財務或敏感資料外洩的風險,甚至考慮根據機構政策上報事故。
請檢查同一網絡內其他電腦。有需要時請評估這些電腦/伺服器資料外洩的風險,並執行緩解措施(例如掃描電腦、重設所有密碼等)。
防止涉及 RDP 伺服器的事故
除 xDedic 事故,我們不時收到與 RDP 伺服器相關個案(如勒索軟件感染)。以我們的經驗,這些事故都是由不安全的設定引起,例如不當的存取控制、弱密碼、沒限制的公共存取等。如果及早收緊保安設定,就可避免這些事故發生。HKCERT 敦促伺服器管理員採取措施,加強系統的保護,包括部署防火牆、執行最小的訪問權限、更改默認設置,設置較強密碼,並定期修補系統。以下是一些關於加強 RDP 伺服器保安的參考資料:
- http://wikisites.cityu.edu.hk/sites/netcomp/articles/Pages/Hardeningstepstosecureremotedesktopaccess_1.aspx
- https://security.berkeley.edu/resources/best-practices-how-articles/securing-remote-desktop-rdp-system-administrators
參考資料
- https://securelist.com/blog/research/75027/xdedic-the-shady-world-of-hacked-servers-for-sale/
- https://kas.pr/G7k5 (PDF)
- https://msdn.microsoft.com/library/aa383015(v=vs.85).aspx