一个大规模僵尸网络正通过超 10 万个 IP 地址，针对美国境内的远程桌面协议（RDP）服务发起攻击。该攻击活动始于 10 月 8 日，威胁监控平台 GreyNoise 的研究人员根据 IP 地址来源判断，此次攻击由一个跨多国的僵尸网络发起。

远程桌面协议（RDP）是一种支持远程连接并控制 Windows 系统的网络协议，通常供管理员、技术支持人员及远程办公人员使用。

攻击者常通过多种方式利用 RDP 实施攻击，包括扫描开放的 RDP 端口、暴力破解登录密码、利用协议漏洞，或发起时序攻击等。

攻击核心手段：两种 RDP 相关攻击方式，精准枚举用户账户

研究人员发现，此次僵尸网络主要依赖两种与 RDP 相关的攻击手法：

1. RD Web 访问时序攻击：探测 RD Web 访问端点，在匿名认证流程中通过检测响应时间差异，推断出系统中的有效用户名；

2. RDP Web 客户端登录枚举：与 RDP Web 客户端的登录流程交互，通过观察服务器行为及响应的差异，枚举系统中的用户账户。

GreyNoise 最初通过巴西地区异常的流量激增发现该攻击活动，随后在更多国家和地区监测到类似攻击行为，涉及阿根廷、伊朗、墨西哥、俄罗斯、南非、厄瓜多尔等。该公司表示，僵尸网络中被劫持设备所在的国家 / 地区总数已超 100 个。

来自巴西的异常活动激增

几乎所有发起攻击的 IP 地址都拥有相同的 TCP 指纹；尽管部分 IP 的 " 最大分段大小 " 存在差异，但研究人员认为，这是由僵尸网络的不同集群导致的。

防御建议：阻断攻击 IP+ 强化 RDP 安全配置

为抵御此类攻击，安全研究人员建议系统管理员应尽快采取以下措施：

·阻断发起攻击的 IP 地址，同时检查日志中是否存在可疑的 RDP 探测行为；

·核心防御原则：不要将远程桌面连接暴露在公网中，建议通过搭建虚拟专用网络、启用多因素认证等方式，为 RDP 访问增加额外安全层。