一项长达一年的实验引诱黑客试图闯入系统,结果得到了一个有趣的结果:单个字母x是最常见的密码猜测之一。
IT安全公司Rapid7设立了蜜罐,用以模拟运行RDP的系统(远程桌面协议)。该协议用于远程登录系统,通常由POS(销售点)设备、kiosks和其他Windows系统运行。
攻击者经常扫描Internet以找到RDP系统,然后试图登录。Rapid7记录了超过22.1万次的登录尝试,然后研究了攻击者使用的凭证。
Rapid7的安全专家托德·比尔兹利(Tod Beardsley)说,Rapid7想知道攻击者是否使用了一些定期发布的最常见弱密码清单。
“我们看到了一些相关性,但顺序完全错了,”他在电话采访中说。“我们看到的第一个密码是‘x’。”
X是Rapid7发现的三个单字符密码之一。当然,这是一个糟糕的密码,安全专家建议使用长而随机的密码,外加奇怪的字符,以减少被猜中的几率。另外两个常见的猜测是“Zz”和“St@rt123”。
由于密码猜测通常受到RDP系统的限制,因此攻击者在被锁定之前只有这么多机会尝试不同的密码。比尔兹利认为,攻击者使用的弱密码——尽管有很多——在某些情况下是经过精心挑选的。
“这些显然是字典攻击,”他说。“他们已经相互关联,正在培养一些小的密码列表。”
在“蜜罐”活跃的一年里,Rapid7收集了大约4000个密码,其中大约20%的密码只出现过一次,就再也没有被使用过。
比尔兹利说,他预计攻击者会反复使用相同的凭证。但是当他们发现一个可能运行RDP的POS系统的新的潜在凭据时,他们就会尝试它,找到所有脆弱的系统,然后继续前进。
“他们再也不会看了,”他说。“它不像每周扫描。”
使用默认凭据或弱凭据对运行一批POS设备的公司尤其危险。如果网络遭到破坏或设备受损,就会收集大量信用卡号码。
尽管建议在POS设备上不允许RDP对Internet开放运行,但它仍然会发生。Rapid7扫描了互联网,发现有1100万个系统在运行RDP。比尔兹利说,不可能知道其中有多少是POS系统,但很可能有很多。
试图登录这些系统是违法的,所以比尔兹利说,Rapid7无法进行进一步的研究。但它表明,一群网络罪犯的一次扫描可以提供许多潜在的利用目标。
比尔兹利说:“我敢打赌,当你扫过这1100万个左右的端点时,这些东西会有成百上千的点击。”“所以在这一点上,你有很多目标可以合作,特别是如果它们是销售点系统的话。”