Логотип
Главная | Статьи | Атаки на RDP: брутфорс и эксплуатация BlueKeep
Атаки на RDP: брутфорс и эксплуатация BlueKeep

Атаки на RDP: брутфорс и эксплуатация BlueKeep

2 сентября, 2025

73

Введение

Remote Desktop Protocol (RDP) — один из самых популярных способов администрирования Windows-систем. Но вместе с удобством приходит и огромная зона риска. Если порт 3389 (по умолчанию) торчит наружу, то это открытые двери для атакующих. Основные векторы атаки на RDP — брутфорс паролей и эксплуатация критических уязвимостей, таких как легендарный BlueKeep (CVE-2019-0708).

Разберёмся пошагово, где слабое место и как обычно действуют атакующие.

RDP-брутфорс: классика жанра

Как выглядит атака

Злоумышленник запускает массовый перебор логинов и паролей к RDP, используя инструменты вроде ncrack, rdpscan или даже самописные чекеры на Python (с библиотеками impacket / rdpy).
Принцип простой:

  1. Находит IP-адреса с открытым портом 3389 (через shodan, masscan, zmap).
  2. Ставит атаку брутфорсом с огромными словарями (rockyou.txt, сливы баз).
  3. После удачного входа — полный доступ к системе под учеткой.

Особенности и трюки

  • RDP lockout-bypass: чтобы не заблокировать учетку, атакующие делают паузы или используют распределённые потоки с разных IP.
  • Пароли нужны не только простые — атакующие пробуют сочетания вида Domain\Administrator и старые корпоративные схемы пароля.
  • Интеграция с ботнетами: заражённые машины одновременно атакуют десятки тысяч жертв, маскируя активность.

Защита

  • Никогда не держи RDP наружу без VPN.
  • Используй 2FA.
  • Настрой лимиты на входы и мониторинг событий в Windows Security Log.

BlueKeep (CVE-2019-0708): RDP-бомба замедленного действия

Суть уязвимости

BlueKeep — это дырка в удалённом коде RDP, связанная с неправильной обработкой ChannelMS_T120Conn в службе Remote Desktop Services.
Проблема: удалённый пользователь мог выполнить произвольный код без аутентификации, просто подключившись к RDP-службе жертвы.

Почему это так опасно?

  • Уязвимы были Windows XP, 7, Server 2003, 2008, 2008 R2.
  • Эксплойт не требовал учётки — чистая удалёнка!
  • Возможна самораспространяемость (червь уровня WannaCry, только через RDP).

Как проходил типичный сценарий атаки

  1. Скан жертв по интернету на порт 3389.
  2. Проверка на сигнатуру BlueKeep (есть специализированные сканеры типа rdpscan).
  3. Эксплуатация уязвимости → выполнение кода от SYSTEM.
  4. Дальше — загрузка малвари: майнеры, криптолокеры, бекдоры.

Усиление атаки:

BlueKeep можно комбинировать:

  • С RDP-брутфорсом (сначала перебор, потом залив бекдора через уязвимость).
  • С lateral movement внутри сети (после заражения одного компьютера эксплойт шёл дальше по RDP).

Защита

  • Установить патчи от Microsoft.
  • Отключить RDP наружу или заворачивать через VPN/SSH-туннель.
  • Постоянно мониторить журналы безопасности и подключений к RDP.

Как атакующие используют оба метода вместе

  1. Скан сети на наличие RDP и выявление версий.
  2. Если RDP уязвим — пробуется BlueKeep.
  3. Если пропатчено, но оставлен доступ — в ход идёт брутфорс.
  4. После проникновения — закрепление, добавление нового пользователя, отключение антивируса.
  5. Ну и классика: установка криптомайнеров, бэкдоров, либо продажа доступа на даркнет-рынках RDP-доступов.

Вывод

RDP — дырка размером с портал в ад, если админ молится на дефолты и не следит за патчами.

  • BlueKeep показал, насколько опасно держать старые Windows без обновлений.
  • Брутфорс напоминает, что даже после латок слабые пароли — это всё ещё прямая дорога к компрометации.

Золотое правило: RDP — только через защищённый туннель, плюс регулярные апдейты и сложные пароли.