FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

一场大规模、有组织的僵尸网络攻击活动正在针对美国境内的远程桌面协议（RDP）服务展开。安全公司GreyNoise于2025年10月8日报告称，他们追踪到来自100多个国家、超过10万个独立IP地址发起的重大攻击浪潮。

此次行动似乎由中央统一控制，主要目标是入侵RDP基础设施——这是远程工作和系统管理的关键组件。该活动的规模和组织性对依赖RDP进行日常运营的组织构成了重大威胁。

多国IP协同攻击

GreyNoise分析师最初在巴西地理定位的IP流量中发现异常峰值后，开始调查这起广泛攻击。这一发现促使他们展开更广泛分析，很快在阿根廷、伊朗、墨西哥、俄罗斯和南非等多个国家发现了类似的活动激增。尽管攻击来源地多样，但所有攻击都有一个共同目标：美国境内的RDP服务。

分析师高度确信这些活动是由一个大型僵尸网络所为。这一结论的依据是：几乎所有参与攻击的IP都具有相似的TCP指纹。这种技术特征表明，攻击由一个标准的集中式命令与控制结构协调实施。

双重攻击向量

该活动的威胁行为者采用两种特定攻击方式来识别和入侵易受攻击的系统：

第一种是RD Web Access时序攻击，攻击者通过测量服务器对登录尝试的响应时间来匿名区分有效和无效用户名。

第二种是RDP Web客户端登录枚举，系统性地尝试猜测用户凭据。这些方法使僵尸网络能够高效扫描并识别可利用的RDP接入点，而不会立即触发标准安全警报。

如此庞大数量的节点同步使用这些特定的非简单攻击方法，进一步表明这是由单一操作者或团体管理的协同行动。

防护建议

针对这一持续威胁，GreyNoise为网络防御者发布了具体建议。该公司建议组织主动检查安全日志，查找任何异常的RDP探测或符合该活动特征的失败登录尝试。

为提供更直接的保护，GreyNoise在其平台上提供了一个名为"microsoft-rdp-botnet-oct-25"的动态阻止列表模板，客户可自动阻止与该恶意僵尸网络活动相关的所有已知IP地址，有效在网络边界切断攻击。

使用RDP进行远程工作的组织应检查其RDP安全性，需要强制执行强密码策略，并尽可能使用多因素认证，这将有助于防范大规模黑客攻击（如暴力破解）。

参考来源：

Hackers Attacking Remote Desktop Protocol Services from 100,000+ IP Addresses

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）