远程桌面协议主要用于用户远程连接和控制计算机，通常使用3389端口进行通信。用户输入正确的用户密码时，可以直接操作远程计算机，为攻击者提供了新的攻击面。只要你有正确的证书，任何人都可以登录电脑。因此，攻击者可以通过工具扫描攻击目标的端口，如果用户打开3389端口，没有相关的防范意识，则可以使用123456等弱密码，攻击者可以远程连接，通过字典尝试多种方法组合，暴力破解用户名密码。拥有登录权限，可直接投入恐吓病毒，进一步横向渗透扩大影响面。下图为大家展示了2020年度最新排名前十的弱密码：

漏洞是硬件、软件、协议的具体实现或系统安全战略存在的缺陷，可以使攻击者在未经许可的情况下访问或破坏系统。脆弱性的利用与时间有关，攻击者利用0day进行攻击时，相关系统和部件非常危险。但而，在过去的恐吓事件中，大多数攻击者通常使用成熟的脆弱性工具进行攻击，如永恒的蓝色、RIG、GrandSoft等脆弱性攻击包。如果用户没有及时修复相关漏洞，很可能会受到攻击。

在过去的一年里，受疫情的影响，很多人开始在家工作，由于工作方式的变化促进了远程办公工具的兴起，远程工具相关脆弱性利用攻击事件的显着增加，除了传统的office脆弱性(CVE2016-0158、CVE2017-12683等)外，一些新的脆弱性利用攻击也频繁出现。比如CVE-2020-194196、CVE-2020-11320等。

威胁软件进入用户环境后，为了尽可能扩大影响，不直接加密的可能性很高，而是通过感染机渗透其他机器，提高权限，盗取更有价值的证明书。横向移动攻击可获得域控制权限，获得控制域环境下的所有机器。赎金额和恐吓成功率都大幅度提高。其主要方式包括:1.使用PsExec等工具。比如，WastedLocker恐吓软件通过入侵系统后，通过psexec等命令横向渗透，寻找价值高的系统进行加密，psexec-s cmd。

比如，Conti恐吓软件通过wmic远程执行命令，收集域密码，横向渗透，利用IPC$或默认共享，比如makop通过共享资源加密。着名的WanaCry威胁病毒通过永恒的蓝洞和445端口在网上传播。

正如之前所说，现在的恐吓软件不是功能单一的恐吓，而是与僵尸网络、秘密木马等其他恶意软件合作发起攻击。偷窃用户敏感的数据，威胁。另外，对目标的攻击更加明确，利用的工具也多为定制工具。Nozelesn恐吓软件利用Emotet僵尸网络发布，Locky恐吓软件利用Necurs僵尸网络发布垃圾邮件，Ruyk利用Trickbot木马发布，窃取用户信息。