【安全资讯】大规模跨国僵尸网络针对美国RDP服务发起攻击

概要：

近期，一场规模空前的跨国僵尸网络攻击正针对美国远程桌面协议（RDP）服务展开持续攻势。该攻击自10月8日启动，涉及超过10万个IP地址，已对政府机构和IT行业构成严重威胁。攻击者通过精密的身份枚举技术突破认证防线，凸显了远程访问服务在公共互联网暴露时的安全脆弱性。

主要内容：

此次攻击由威胁监测平台GreyNoise率先发现，其技术核心聚焦于RDP协议的身份验证环节。攻击者主要采用两种技术手段：一是通过RD Web Access时序攻击，在匿名认证流程中测量响应时间差异来推断有效用户名；二是利用RDP Web客户端登录枚举，通过观察服务器行为差异来识别合法账户。

攻击流量最初在巴西出现异常峰值，随后迅速扩散至阿根廷、伊朗、中国、墨西哥、俄罗斯等全球百余个国家。研究人员指出，尽管攻击IP的TCP指纹特征高度一致，但最大分段大小的差异表明该僵尸网络由多个异构集群组成。

技术分析显示，攻击成功的关键在于RDP服务直接暴露在公共互联网且缺乏多因素认证保护。攻击者通过持续扫描开放端口并结合暴力破解手段，有效规避了传统防御机制的检测。

目前GreyNoise建议管理员立即封锁攻击源IP并加强日志审计。从根本上说，应将RDP服务置于VPN之后并启用多因素认证，这是阻断此类攻击最有效的防护措施。