هل ترغب في رؤية الموقع بلغة مختلفة؟

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
تغيير اللغة
جدول المحتويات
Banner for article "Remote Desktop Protocol Ransomware: Detection Engineering Facing RDP-led Intrusions", bearing article title, TSplus Advanced Security logo, TSplus website and topical illustration.

لماذا دليل الكشف عن برامج الفدية عالية الإشارة لبروتوكول سطح المكتب البعيد؟

تبدأ حوادث برامج الفدية الخاصة ببروتوكول سطح المكتب البعيد (RDP) غالبًا بنفس الطريقة: إساءة استخدام بيانات الاعتماد، تسجيل دخول تفاعلي ناجح، وحركة جانبية هادئة قبل التشفير. تعرف العديد من الفرق بالفعل على أساسيات تقوية RDP لكن مشغلي برامج الفدية لا يزالون يتسللون عندما يكون المراقبة صاخبة جدًا أو تكون عملية الفرز بطيئة جدًا.

يركز هذا الدليل على هندسة الكشف عن التسللات التي يقودها RDP: الحد الأدنى من البيانات التي يجب جمعها، كيفية تحديد العادات، تحديد ستة أنماط تنبيه عالية الإشارة والتخطيط لعملية فرز عملية للتصرف قبل التشفير.

RDP ransomware: لماذا تعتبر الاكتشاف مهمًا؟

سلسلة RDP إلى الفدية التي يمكنك ملاحظتها فعليًا

RDP ليس "الثغرة" في معظم قصص برامج الفدية المتعلقة ببروتوكول سطح المكتب البعيد. RDP هو القناة التفاعلية التي يستخدمها المهاجمون بعد أن يحصلوا على بيانات الاعتماد، ثم يعيدون استخدام نفس القناة للتنقل بين الأنظمة. إشعارات CISA حول مجموعات برامج الفدية توثيق استخدام بيانات الاعتماد المخترقة وRDP للحركة داخل البيئات بشكل متكرر.

الخبر السار هو أن هذا التدفق يترك آثارًا يمكن ملاحظتها في معظم بيئات Windows، حتى بدون أدوات متقدمة:

  • إخفاقات ونجاحات المصادقة،
  • أنماط نوع تسجيل الدخول متوافقة مع RDP،
  • تغييرات مفاجئة في الامتيازات بعد تسجيل دخول جديد،
  • سلوك الحركة الجانبية (المعروف أيضًا باسم التوسع)
  • إجراءات الاستمرارية مثل المهام المجدولة والخدمات.

كيف يبدو الكشف عن التشفير المسبق في الممارسة العملية؟

الكشف عن التشفير المسبق لا يعني التقاط كل فحص أو كل محاولة كلمة مرور فاشلة. بل يعني التقاط نقاط الانتقال المهمة بشكل موثوق.

  1. المهاجمون يحاولون بيانات الاعتماد ”,
  2. “تمكن المهاجمون من الدخول”
  3. المهاجمون يوسعون نطاقهم
  4. "المهاجمون يستعدون للنشر".

لهذا السبب أيضًا، تؤكد إرشادات CISA بشأن برامج الفدية على ضرورة تقليل الخدمات البعيدة المهددة مثل RDP وتطبيق أفضل الممارسات إذا كان RDP ضروريًا. الكشف والاستجابة جزء من واقع أفضل الممارسات في البيئات التي لا تستطيع إعادة التصميم بين عشية وضحاها.

ما الذي يشكل الحد الأدنى من القياس القابل للتطبيق لاكتشاف التسلل الذي يقوده RDP؟

سجلات أمان ويندوز لجمعها

تسجيل الأحداث - تسجيل الدخول الناجح والفاشل:

إذا كنت ستقوم بشيء واحد فقط، اجمع وركز أحداث أمان ويندوز لتسجيل الدخول:

تظهر جلسات RDP التفاعلية عادةً كـ "تسجيل دخول تفاعلي عن بُعد" (عادةً نوع تسجيل الدخول 10 في العديد من البيئات)، وسترى أيضًا نشاطًا ذا صلة عند تمكين مصادقة مستوى الشبكة (NLA)، لأن المصادقة تحدث في وقت مبكر وقد يتم تسجيلها بشكل مختلف على نقطة النهاية ووحدة تحكم المجال.

NB: إذا رأيت فجوات، تحقق من أحداث وحدة التحكم في المجال المتعلقة بالتحقق من الاعتماد أيضًا.

ما يجب التقاطه من كل حدث لهندسة الكشف:

  • المضيف المستهدف (الوجهة)،
  • اسم الحساب والنطاق
  • عنوان IP المصدر / اسم محطة العمل (عند وجوده)،
  • نوع تسجيل الدخول،
  • حزمة / عملية المصادقة (عند وجودها)
  • أكواد أسباب الفشل (لـ 4625).

سجلات RDS و TerminalServices التي تضيف سياقًا

تخبرك سجلات الأمان "من قام بتسجيل الدخول ومن أين". تساعدك سجلات RDS وTerminalServices في معرفة "كيف تصرفت الجلسة"، خاصة في بيئات خدمات سطح المكتب البعيد مع مضيفي الجلسات.

جمع السجلات التالية يجعل عملية الفرز أسرع عند وجود جلسات متعددة:

  • أحداث الاتصال/فصل الاتصال،
  • أنماط إعادة الاتصال للجلسة،
  • ارتفاعات في إنشاء الجلسات على المضيفين غير المعتادين.

إذا كانت بيئتك تعتمد فقط على "الوصول عن بُعد كمسؤول إلى الخادم"، فإن هذه السجلات اختيارية. إذا كنت تدير مزارع RDS، فهي تستحق ذلك.

المركزية والاحتفاظ: كيف يبدو "الكافي"

تتحول الكشف بدون مركزية إلى "الوصول عن بُعد إلى صندوق والأمل أن تكون السجلات لا تزال موجودة". قم بمركزية السجلات إلى SIEM أو منصة سجلات بالإضافة إلى الاحتفاظ بما يكفي من البيانات لرؤية التسللات البطيئة.

الحد الأدنى العملي لتحقيقات برامج الفدية يقاس بالأسابيع، وليس بالأيام، لأن وسطاء الوصول قد يؤسسون الوصول قبل التشفير بفترة طويلة. إذا لم تتمكن من الاحتفاظ بكل شيء، احتفظ على الأقل ببيانات المصادقة، وتغييرات الامتيازات، وإنشاء المهام/الخدمات، وأحداث حماية النقاط النهائية.

كيف يمكنك تحديد مستوى RDP العادي بحيث تصبح التنبيهات ذات إشارة عالية؟

خط الأساس بواسطة المستخدم، المصدر، المضيف، الوقت والنتيجة

تفشل معظم تنبيهات RDP لأن لم يتم تحديد خط الأساس. يحتوي RDP في الحياة الواقعية على أنماط، مثل:

  • تستخدم حسابات الإدارة المحددة مضيفين قفز محددين،
  • تحدث تسجيلات الدخول خلال فترات الصيانة،
  • يجب ألا تقبل بعض الخوادم تسجيل الدخول التفاعلي أبدًا،
  • يجب على بعض المستخدمين عدم المصادقة على الخوادم على الإطلاق.

تحديد هذه الأبعاد:

  • المستخدم → المضيفون النموذجيون،
  • المستخدم → عناوين IP / الشبكات الفرعية نموذجية،
  • أوقات تسجيل الدخول النموذجية
  • المضيف → مستخدمو RDP النموذجيون،
  • معدل نجاح المصادقة النموذجي.

ثم قم بإنشاء تنبيهات تُفعّل عند الانحرافات عن ذلك النموذج، وليس فقط على الحجم الخام.

فصل جلسات RDP الإدارية عن جلسات RDS للمستخدمين لتقليل الضوضاء

إذا كنت تدير RDS للمستخدمين النهائيين، فلا تخلط بين "ضوضاء جلسة المستخدم" و"خطر مسار الإدارة". أنشئ خطوط أساس واكتشافات منفصلة لـ:

  • جلسات المستخدم النهائي إلى مضيفي الجلسات (متوقع)
  • جلسات الإدارة للخوادم الأساسية (مخاطر أعلى)،
  • جلسات الإدارة إلى وحدات تحكم المجال (أعلى خطر، غالبًا يجب أن تكون "أبدًا").

هذا الفصل هو أحد أسرع الطرق لجعل التنبيهات ذات مغزى دون إضافة أدوات جديدة.

علامات الكشف عالية الإشارة لالتقاط مؤشرات برامج الفدية

الهدف هنا ليس المزيد من الاكتشافات. إنه تقليل الاكتشافات مع تصنيف أحداث أكثر وضوحًا.

لكل كشف أدناه، ابدأ بـ "سجلات الأمان فقط"، ثم قم بإثراء المعلومات إذا كان لديك EDR/Sysmon.

رش كلمة المرور مقابل القوة الغاشمة: الكشف القائم على الأنماط

إشارة:

تسجيلات الدخول الفاشلة الكثيرة الموزعة عبر الحسابات (رش) أو المركزة على حساب واحد (هجوم القوة الغاشمة).

المنطق المقترح:

  • رش: “>X فشل من مصدر واحد إلى >Y اسم مستخدم مميز في Z دقيقة”.
  • هجوم القوة الغاشمة : “>X فشل لاسم مستخدم واحد من مصدر واحد في Z دقيقة”.

تعديل:

  • استبعاد المضيفين المعروفين للقفز ونقاط الخروج الخاصة بشبكة VPN حيث ينشأ العديد من المستخدمين الشرعيين،
  • ضبط العتبات حسب وقت اليوم (الفشل بعد ساعات العمل يكون أكثر أهمية)،
  • ضبط حسابات الخدمة التي تفشل بشكل شرعي (ولكن تحقق أيضًا من السبب).

خطوات الفرز التالية:

  • تأكيد سمعة عنوان IP المصدر وما إذا كان ينتمي إلى بيئتك،
  • تحقق مما إذا كان هناك أي تسجيل دخول ناجح لنفس المصدر بعد فترة قصيرة،
  • إذا كانت متصلة بالنطاق، تحقق من فشل التحقق من وحدة تحكم النطاق أيضًا.

أهمية برامج الفدية:

رشّ كلمة المرور هي تقنية شائعة لـ "وسيط الوصول الأولي" تسبق النشاط العملي على لوحة المفاتيح.

تسجيل دخول RDP المميز للمرة الأولى من مصدر جديد

إشارة:

تم تسجيل دخول حساب مميز (مديرو المجال، مدراء الخادم، معادلات المسؤول المحلي) بنجاح عبر RDP من مصدر لم يتم رؤيته من قبل.

المنطق المقترح:

  • "تسجيل دخول ناجح لحساب مميز حيث أن عنوان IP/محطة العمل المصدر ليس في تاريخ الأساس في آخر N يومًا".

تعديل:

  • الحفاظ على قائمة مسموح بها من محطات العمل الإدارية / مضيفي القفز المعتمدين،
  • عامل "الظهور لأول مرة" خلال فترات التغيير العادية بشكل مختلف عن الساعة 02:00.

خطوات الفرز التالية:

  • تحقق من نقطة النهاية المصدر: هل هي مُدارة من قبل الشركة، مُحدثة ومتوقعة؟
  • تحقق مما إذا كان الحساب قد شهد إعادة تعيين كلمة المرور مؤخرًا أو تم قفله.
  • ابحث عن تغييرات الامتيازات، إنشاء المهام أو إنشاء الخدمات خلال 15-30 دقيقة بعد تسجيل الدخول.

أهمية برامج الفدية:

غالبًا ما يسعى مشغلو برامج الفدية للوصول المتميز بسرعة لتعطيل الدفاعات ودفع التشفير على نطاق واسع.

توزيع RDP: مصدر واحد يتحقق من الهوية للعديد من المضيفين

إشارة:

واحد محطة العمل أو IP يتم المصادقة بنجاح على عدة خوادم خلال فترة زمنية قصيرة.

المنطق المقترح:

  • "مصدر واحد مع تسجيلات دخول ناجحة إلى >N مضيف وجهة متميز في M دقيقة".

تعديل:

  • استبعاد أدوات الإدارة المعروفة وخوادم القفز التي تتعامل بشكل شرعي مع العديد من المضيفين،
  • إنشاء حدود منفصلة لحسابات المسؤولين مقابل حسابات غير المسؤولين،
  • تشديد العتبات بعد ساعات العمل.

خطوات الفرز التالية:

  • تحديد "المضيف المحوري" (المصدر)،
  • تحقق مما إذا كان من المتوقع أن يدير الحساب تلك الوجهات،
  • ابحث عن علامات جمع بيانات الاعتماد أو تنفيذ أدوات التحكم عن بُعد على نقطة النهاية المصدر.

أهمية برامج الفدية:

الحركة الجانبية هي كيف تصبح "تسجيل دخول واحد مخترق" "تشفير على مستوى المجال".

نجاح RDP يتبعه تغيير في الامتيازات أو مسؤول جديد

إشارة:

بعد فترة وجيزة من تسجيل الدخول الناجح، يظهر نفس المضيف تغييرات في المستخدم أو المجموعة تتماشى مع تصعيد الامتيازات (مدير محلي جديد، إضافات في عضوية المجموعة).

المنطق المقترح:

  • "تسجيل دخول ناجح → خلال N دقيقة: عضوية مجموعة المسؤول الجديدة أو إنشاء مستخدم محلي جديد".

تعديل:

خطوات الفرز التالية:

  • تحقق من هدف التغيير (أي حساب تم منحه صلاحيات المسؤول)،
  • تحقق مما إذا كان الحساب الجديد مستخدمًا لتسجيل الدخول الإضافي على الفور بعد ذلك،
  • تحقق مما إذا كان الممثل قد قام بعد ذلك بأداء حركة الانتشار.

أهمية برامج الفدية:

تغييرات الامتيازات هي مقدمة شائعة لإيقاف الدفاع والنشر الجماعي.

نجاح RDP يليه إنشاء مهمة مجدولة أو خدمة

إشارة:

تتبع الجلسة التفاعلية آليات الاستمرارية أو النشر مثل المهام المجدولة أو الخدمات الجديدة.

المنطق المقترح:

  • تسجيل الدخول الناجح → خلال N دقيقة: تم إنشاء مهمة مجدولة أو تم تثبيت/إنشاء خدمة.

تعديل:

  • استبعاد أدوات نشر البرمجيات المعروفة،
  • توافق مع حساب تسجيل الدخول ودور المضيف (يجب أن تكون وحدات التحكم في المجال وخوادم الملفات حساسة للغاية).

خطوات الفرز التالية:

  • حدد سطر الأوامر ومسار الثنائي (EDR يساعد هنا)،
  • تحقق مما إذا كانت المهمة/الخدمة تستهدف نقاط نهاية متعددة،
  • عزل الملفات الثنائية المشبوهة قبل أن تنتشر.

أهمية برامج الفدية:

تعتبر المهام المجدولة والخدمات طرقًا شائعة لنشر الحمولة وتنفيذ التشفير على نطاق واسع.

إشارات ضعف الدفاع بعد فترة وجيزة من RDP (عند توفره)

إشارة:

تم تعطيل حماية النقاط النهائية، أو يتم تفعيل حماية التلاعب، أو تتوقف أدوات الأمان بعد فترة وجيزة من تسجيل دخول عن بُعد جديد.

المنطق المقترح:

  • "تسجيل دخول RDP بواسطة المسؤول → خلال N دقيقة: حدث تعطيل منتج الأمان أو تنبيه التلاعب".

تعديل:

  • اعتبر أي عطل في الخوادم أكثر خطورة من محطات العمل،
  • تحقق مما إذا كانت نوافذ الصيانة تبرر تغييرات الأدوات المشروعة.

خطوات الفرز التالية:

  • عزل المضيف إذا كان بإمكانك القيام بذلك بأمان،
  • تعطيل جلسة الحساب وتدوير بيانات الاعتماد،
  • ابحث عن نفس الحساب على مضيفين آخرين.

أهمية برامج الفدية:

إعاقة الدفاع هي مؤشر قوي على نشاط المشغل الذي يعمل على لوحة المفاتيح، وليس مسحًا عشوائيًا.

قائمة التحقق النموذجية لمتى يتم تشغيل تنبيه مسبق لـ RDP

هذا مصمم للسرعة. لا تحاول أن تكون متأكدًا قبل التصرف. اتخذ إجراءات لتقليل نطاق الانفجار أثناء التحقيق.

تقييم لمدة 10 دقائق: تأكيد وتحديد النطاق

  1. تأكيد أن التنبيه حقيقي تحديد المستخدم، المصدر، الوجهة، الوقت ونوع تسجيل الدخول (بيانات 4624/4625).
  2. تحقق مما إذا كان المصدر ينتمي إلى شبكتك أو مخرج VPN أو مضيف قفز متوقع.
  3. حدد ما إذا كان الحساب مميزًا وما إذا كان يجب على هذا المضيف قبول تسجيل الدخول التفاعلي على الإطلاق.
  4. محور على المصدر: كم عدد الفشل، كم عدد النجاح، كم عدد الوجهات؟

النتيجة: قرر ما إذا كان هذا "محتمل أن يكون ضارًا" أو "مريبًا" أو "متوقعًا".

احتواء لمدة 30 دقيقة: إيقاف الوصول وتحديد الانتشار

أدوات الاحتواء التي لا تتطلب يقينًا كاملًا:

  • تعطيل أو إعادة تعيين بيانات اعتماد الحساب المشتبه به (خاصة الحسابات المميزة)،
  • حظر عنوان IP المصدر المشبوه عند الحافة (مع فهم أن المهاجمين يمكنهم التدوير)،
  • إزالة وصول RDP مؤقتًا من المجموعات الكبيرة (تنفيذ أقل امتياز)
  • عزل نقطة النهاية المصدر إذا بدت أنها المحور لحركة التوزيع.

توجيهات CISA تؤكد مرارًا وتكرارًا تقييد الخدمات عن بُعد مثل RDP وتطبيق ممارسات قوية عند الحاجة، لأن الوصول عن بُعد المكشوف أو الذي يتم التحكم فيه بشكل ضعيف هو مسار دخول شائع.

توسيع البحث لمدة 60 دقيقة: تتبع الحركة الجانبية والتجهيز

الآن افترض أن المهاجم يحاول التهيئة.

  • ابحث عن تسجيلات دخول ناجحة إضافية لنفس الحساب عبر مضيفين آخرين.
  • ابحث عن تغييرات سريعة في الامتيازات، وإنشاء مسؤول جديد، وإنشاء مهام/خدمات على المضيف الوجهة الأول.
  • تحقق من خوادم الملفات ومضيفي الافتراضية للولوجات غير الطبيعية (هذه هي "مضاعفات تأثير" برامج الفدية).
  • تحقق من النسخ الاحتياطية وجاهزية الاستعادة، ولكن لا تبدأ في الاستعادة حتى تكون واثقًا من توقف المرحلة.

أين يتناسب TSplus Advanced Security؟

التحكمات الدفاعية الأولى لتقليل احتمالية هجمات الفدية التي يقودها RDP

مصنوع لـ RDP ولخوادم التطبيقات

الكشف أمر حاسم، لكن برامج الفدية التي تستخدم بروتوكول سطح المكتب البعيد غالبًا ما تنجح لأن المهاجمين يمكنهم تجربة بيانات الاعتماد مرارًا وتكرارًا حتى تنجح شيئًا ما، ثم يستمرون في التحرك بمجرد دخولهم. TSplus Advanced Security هو طبقة الدفاع الأولى مصمم لتقليل تلك الاحتمالية من خلال تقييد وتعطيل مسارات هجوم RDP الشائعة التي تسبق برامج الفدية.

مجموعة برامج TSplus - تكامل مدمج

نظرًا لتكاملها مع قيود وإعدادات المستخدمين والمجموعات الدقيقة لـ TSplus Remote Access، فإنها توفر دفاعات قوية ضد محاولات الهجوم على خوادم التطبيقات الخاصة بك.

أمان شامل لعدم ترك أي ثغرات

عمليًا، فإن تقليص سطح المصادقة وكسر أنماط إساءة استخدام بيانات الاعتماد الآلية هو أمر أساسي. من خلال المشاركة في تحديد من يمكنه الاتصال، ومن أين، وتحت أي ظروف، بالإضافة إلى تعلم السلوكيات القياسية وتطبيق الضوابط الوقائية لتقليل فعالية الهجمات بالقوة الغاشمة والرذاذ، توفر Advanced Security حواجز قوية. وهذا يكمل معايير النظافة القياسية لـ RDP دون استبدالها ويكسب الوقت من خلال منع بيانات اعتماد محظوظة واحدة من أن تصبح نقطة انطلاق تفاعلية.

مضاعف هندسة الكشف: إشارة أفضل، استجابة أسرع

تعمل ضوابط الدفاع أولاً أيضًا على تحسين جودة الكشف. عندما يتم تقليل ضوضاء القوة الغاشمة على نطاق الإنترنت، تستقر الخطوط الأساسية بشكل أسرع ويمكن أن تكون العتبات أكثر دقة. تصبح التنبيهات أكثر قابلية للتنفيذ حيث تتسبب أحداث أقل في الإشعاع الخلفي.

في حادث، تهم السرعة على كل مستوى. تصبح القيود المدفوعة بالسياسة أدوات استجابة فورية: حظر المصادر المشبوهة، عزل المناطق المتأثرة، تشديد أنماط الوصول المسموح بها، تقليل التفويضات وتقييد فرص الحركة الجانبية بينما تستمر التحقيقات.

تدفق العمل التشغيلي: أدوات الاحتواء مرتبطة بتنبيهاتك

استخدم TSplus الأمان المتقدم كـ "مفاتيح سريعة" مرتبطة بالاكتشافات في هذا الدليل:

  • إذا زادت نمط الرش/الهجوم بالقوة الغاشمة، قم بتشديد قواعد الوصول وزيادة الحظر التلقائي لوقف المحاولات المتكررة.
  • إذا ظهر تسجيل دخول RDP مميز للمرة الأولى من مصدر جديد، قم بتقييد مسارات الوصول المميز إلى مصادر الإدارة المعروفة حتى يتم التحقق.
  • إذا تم اكتشاف حركة انتشار، قم بتقليل الاتصالات المسموح بها لتقليل الانتشار مع عزل نقطة النهاية المحورية.

تركز هذه الطريقة على الكشف أولاً، ولكن مع قوة حماية حقيقية من حولها حتى لا يتمكن المهاجم من الاستمرار في المحاولة أثناء تحقيقك.

استنتاج حول تخطيط اكتشاف برامج الفدية

بروتوكول سطح المكتب البعيد نادراً ما يصل دون تحذير. غالباً ما تكون إساءة استخدام بيانات الاعتماد، وأنماط تسجيل الدخول غير العادية، والتغييرات السريعة بعد تسجيل الدخول مرئية قبل بدء التشفير. من خلال تحديد نشاط RDP الطبيعي وتنبيه مجموعة صغيرة من السلوكيات عالية الإشارة، يمكن لفرق تكنولوجيا المعلومات الانتقال من التنظيف التفاعلي إلى احتواء مبكر .

ربط تلك الاكتشافات مع ضوابط الدفاع أولاً، مثل تقييد مسارات الوصول وتعطيل محاولات القوة الغاشمة باستخدام TSplus Advanced Security، يقلل من وقت تواجد المهاجمين ويشتري الدقائق التي تهم عند منع تأثير برامج الفدية.

تجربة مجانية للوصول عن بسبب TSplus

بديل نهائي لـ Citrix/RDS للوصول إلى سطح المكتب/التطبيق. آمن وفعال من حيث التكلفة، محلي/سحابي

ابدأ تجربة مجانية

مشاركة:

فيسبوك تويتر لينكدإن

فريق TSplus الخاص بك

المزيد من القراءة

TSplus Remote Desktop Access - Advanced Security Software

تعزيز الدفاع الرقمي: ما هي أمان النقاط النهائية؟

ما هي أمان النقاط النهائية؟ يهدف هذا المقال إلى تمكين صانعي القرار ووكلاء تكنولوجيا المعلومات لتعزيز تدابير الأمن السيبراني لديهم في ما يتعلق بتأمين النقاط النهائية، مما يضمن إنتاجية تشغيلية عالية وحماية الأصول البيانية الحيوية.

اقرأ المقالة
back to top of the page icon