Я тоже не верю, пока не увижу доступы в своих руках!) Мяу
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Битва за Доступ: высокоскоростной Brute Force RDP
- Автор темы MaFio
- Дата начала
-
- Теги
- bruteforce opensource rdp
- Статус
ну так ты возьми диапы например с максминда проскань юсу на 3389, затем чекни на NLA, удали дубли по ИП, и увидишь скок там ИП.
Последнее редактирование:
- Автор темы
- Добавить закладку
- #23
Анализ использования протокола RDP в мировом масштабе схож с географическим распределением других протоколов (таких как SSH) и коррелирует с масштабами использования различных уязвимостей в регионах глобальной сети.
Наиболее активное использование наблюдается в следующих странах:
- США
- Китай
- Германия
- Россия
- Сингапур
- Япония
Наиболее активное использование наблюдается в следующих странах:
- США
- Китай
- Германия
- Россия
- Сингапур
- Япония
- Автор темы
- Добавить закладку
- #24
Хакеры используют протокол удаленного рабочего стола (RDP) в 90% кибератак, так указано новейшем отчете от Sophos. Это самый высокий уровень злоупотребления RDP с 2020 года.
Кроме того, внешние удаленные сервисы, такие как RDP, были наиболее распространенным направлением, с помощью которого злоумышленники первоначально взламывали сети; в 2023 году они были способом первичного доступа в 65% случаев.
Скомпрометированные учетные данные и эксплуатация уязвимостей по-прежнему являются двумя наиболее распространенными основными методами атак. Однако в 2023 году атаки с использованием скомпрометированных учетных данных значительно увеличились, составив более 50% случаев за год. Если рассмотривать совокупные данные Sophos Incident Response за период с 2020 по 2023 год, то атаки с использованием скомпрометированных учетных данных являются основным вектором в почти трети всех рассмотренных случаев кибератак “за все время”.”
Кроме того, внешние удаленные сервисы, такие как RDP, были наиболее распространенным направлением, с помощью которого злоумышленники первоначально взламывали сети; в 2023 году они были способом первичного доступа в 65% случаев.
Скомпрометированные учетные данные и эксплуатация уязвимостей по-прежнему являются двумя наиболее распространенными основными методами атак. Однако в 2023 году атаки с использованием скомпрометированных учетных данных значительно увеличились, составив более 50% случаев за год. Если рассмотривать совокупные данные Sophos Incident Response за период с 2020 по 2023 год, то атаки с использованием скомпрометированных учетных данных являются основным вектором в почти трети всех рассмотренных случаев кибератак “за все время”.”
- Автор темы
- Добавить закладку
- #25
С 2019 по 2024 год российский граждан Евгений Д. организовал бизнес по продаже нелегально полученных доступов к корпоративным системам. Чаще всего хакер предпочитал взламывать сети компаний посредством брутфорса RDP.
Продажа доступов на русскоязычных форумах даркнета привлекла внимание правоохранительных органов США, что привело к серьезным обвинениям. Это также высветило по-прежнему продолжающуюся актуальность brute force атак на RDP как серьезной угрозы для кибербезопасности.
Подробнее читайте на Xakep.ru.
Продажа доступов на русскоязычных форумах даркнета привлекла внимание правоохранительных органов США, что привело к серьезным обвинениям. Это также высветило по-прежнему продолжающуюся актуальность brute force атак на RDP как серьезной угрозы для кибербезопасности.
Подробнее читайте на Xakep.ru.
Ну, вот... а говорили если не рансом то похуй на тебя, а тут оказывается что ты вовсе не "неуловимый Джо...".
- Автор темы
- Добавить закладку
- #27
RDP в Windows от Microsoft преподнес нам очередной "подарок": протокол позволяет аутентифицироваться, используя старые, уже отозванные пароли.
Независимый ИБ-исследователь Дэниел Уэйд (Daniel Wade) детально продемонстрировал, что многократная смена пароля для облачных учетных записей (Microsoft Account или Azure AD) не приводит к немедленной инвалидации старых кредов для RDP-доступа, если под ними хотя бы раз был осуществлен успешный вход к целевой машине. Microsoft определяет это как "особенность архитектурного решения" (design feature) для обеспечения возможности локального входа в оффлайн-режиме, и, соответственно, уязвимостью не считает.
При первом RDP-подключении с использованием облачной учетки, Windows сохраняет ее верификатор (credential verifier) локально на диске. Все последующие попытки RDP-аутентификации на эту же машину будут проверяться в первую очередь по этому локальному кэшу, минуя обязательную онлайн-проверку актуальности пароля в облаке. Таким образом, если потенциальный старый пароль совпадает с закэшированным верификатором, система предоставит RDP-доступ, полностью игнорируя тот факт, что в облаке этот пароль давно недействителен.
Это не только повышает эффективность атаки (особенно credential stuffing с использованием старых утечек), но и позволяет сохранять персистентный доступ даже после смены пользователем пароля в облаке, эффективно обходя MFA и политики Conditional Access, настроенные на уровне облачного провайдера.
Независимый ИБ-исследователь Дэниел Уэйд (Daniel Wade) детально продемонстрировал, что многократная смена пароля для облачных учетных записей (Microsoft Account или Azure AD) не приводит к немедленной инвалидации старых кредов для RDP-доступа, если под ними хотя бы раз был осуществлен успешный вход к целевой машине. Microsoft определяет это как "особенность архитектурного решения" (design feature) для обеспечения возможности локального входа в оффлайн-режиме, и, соответственно, уязвимостью не считает.
При первом RDP-подключении с использованием облачной учетки, Windows сохраняет ее верификатор (credential verifier) локально на диске. Все последующие попытки RDP-аутентификации на эту же машину будут проверяться в первую очередь по этому локальному кэшу, минуя обязательную онлайн-проверку актуальности пароля в облаке. Таким образом, если потенциальный старый пароль совпадает с закэшированным верификатором, система предоставит RDP-доступ, полностью игнорируя тот факт, что в облаке этот пароль давно недействителен.
Это не только повышает эффективность атаки (особенно credential stuffing с использованием старых утечек), но и позволяет сохранять персистентный доступ даже после смены пользователем пароля в облаке, эффективно обходя MFA и политики Conditional Access, настроенные на уровне облачного провайдера.
- Статус