對大多數防禦者來說，暴露的 RDP 發出的另一個暴力破解警報不過是背景噪音——一些例行公事般的活動，他們會進行優先排序後直接忽略。但對於 Huntress 戰術反應小組來說，其中一次「例行」警報卻演變成了截然不同的情況。

當我們成功登入一次後，我們發現了不尋常的憑證搜尋行為、地理分佈的基礎設施網路以及可疑的 VPN 服務，所有這些都指向勒索軟體即服務生態系統及其初始存取代理。本文將詳細介紹一場聲勢浩大的暴力攻勢如何成為我們進入該行動的入口。以下是這篇報導的摘要整理：

1. 事件背景

在資安防禦領域，針對外部暴露的 RDP（Remote Desktop Protocol）進行暴力破解攻擊已是常見現象。多數防禦團隊將此類警報視為「背景噪音」，快速過濾並處理。然而，Huntress Tactical Response Team 在一次例行的暴力破解事件中，卻意外揭開了一個龐大的勒索軟體基礎設施網路，並進一步追查到與「勒索軟體即服務」（Ransomware-as-a-Service, RaaS）生態系相關的初始存取仲介者（Initial Access Brokers, IABs）。

2. 事件經過

• 暴力破解成功登入：Huntress 團隊在監控過程中，注意到某次暴力破解攻擊成功登入。與一般單純竊取憑證不同，攻擊者展現出異常的憑證搜尋行為。
• 深入追查：透過分析登入後的活動，團隊發現攻擊者並非單純竊取帳號，而是利用該存取點進一步探索，追蹤過程揭露出一個分布於多個地理位置的基礎設施網路。
• VPN 服務與基礎設施：該網絡與一個可疑的 VPN 服務相關，顯示攻擊者利用此服務隱匿來源。VPN 節點分布全球，形成一個難以追蹤的攻擊基礎。
• 與勒索軟體生態的連結：綜合跡象顯示，這些基礎設施與勒索軟體即服務平台密切相關。初始存取仲介者透過暴力破解取得進入點，再將存取權販售給勒索軟體組織。

3. 技術細節與分析

• 暴力破解的角色：雖然暴力破解常被視為低階攻擊，但在此案例中，它成為揭露更大規模犯罪網路的入口。成功登入後的異常行為，顯示攻擊者並非單純竊取，而是進行系統化的憑證蒐集。
• 基礎設施的分布性：攻擊者利用多個地理位置的伺服器，形成一個「去中心化」的攻擊網路，此舉增加防禦方追蹤與阻斷的難度。
• VPN 的掩護作用：VPN 服務成為攻擊者隱匿身份的工具，這些 VPN 節點可能由犯罪組織自行架設，或租用合法服務再濫用。
• 與 RaaS 的關聯：初始存取仲介者在 RaaS 生態中扮演關鍵角色：他們專注於取得進入點，再將存取權販售給勒索軟體團隊，後者負責加密、勒索與金流。此分工模式使勒索軟體攻擊更具規模化與專業化。

4. 影響與意涵

• 對防禦方的啟示：不可忽視「例行性」的暴力破解警報，每一次成功登入都可能是更大犯罪網路的線索。
• 勒索軟體生態的成熟化：RaaS 模式顯示勒索軟體已非單一組織行動，而是完整的供應鏈。初始存取仲介者、VPN 服務、加密團隊、金流處理者，各自分工合作。
• 國際追蹤的挑戰：基礎設施跨國分布，增加司法管轄與執法難度。VPN 節點的合法與非法混用，使得追蹤更為複雜。

5. 結論與建議

一次看似普通的暴力破解事件，揭露了勒索軟體生態的龐大基礎設施，此案例凸顯了資安防禦中「細節即關鍵」的原則。建議組織可以評估強化以下措施：

• 強化監控：對暴力破解警報進行更深入分析，而非僅僅過濾。
• 跨國合作：建立國際資安情報共享機制，追蹤跨境基礎設施。
• VPN 濫用防制：加強對 VPN 服務的監管，避免成為犯罪工具。
• 教育與意識：提升企業與員工對 RDP 暴露風險的認知，減少攻擊面。

資料來源：https://www.bleepingcomputer.com/news/security/how-a-brute-force-attack-unmasked-a-ransomware-infrastructure-network/