Искате ли да видите сайта на друг език?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Смяна на език
Съдържание
Banner for article "Remote Desktop Protocol Ransomware: Detection Engineering Facing RDP-led Intrusions", bearing article title, TSplus Advanced Security logo, TSplus website and topical illustration.

Защо ръководство за откриване на ransomware с висока сигнализация за протокол за отдалечен работен плот?

Инцидентите с ransomware, свързани с Протокола за отдалечен работен плот (RDP), често започват по един и същи начин: злоупотреба с удостоверения, успешен интерактивен вход и тихо странично движение преди криптиране. Много екипи вече знаят основите на засилване на RDP но операторите на ransomware все още успяват да се промъкнат, когато мониторингът е твърде шумен или триажът е твърде бавен.

Този наръчник се фокусира върху инженерството за откриване на инвазии, водени от RDP: минималната телеметрия за събиране, как да се установят основни навици, да се определят шест модела на сигнали с висока стойност и да се планира практичен работен поток за триаж, за да се действа преди криптиране.

RDP зловреден софтуер: Защо е важно откритие?

Цепката RDP-към-рансъмуер, която всъщност можете да наблюдавате

RDP не е „експлоатацията“ в повечето истории за рансъмуер, свързани с протокола за отдалечен работен плот. RDP е интерактивният канал, който нападателите използват след като получат удостоверения, след което повторно използват същия канал, за да се движат между системите. Съобщения на CISA относно групи за рансъмуер повтарящо се документиране на използването на компрометирани идентификационни данни и RDP за движение вътре в средите.

Добрата новина е, че този работен процес оставя следи, които са наблюдаеми в повечето Windows среди, дори и без напреднали инструменти:

  • неуспехи и успехи при удостоверяване,
  • шаблони за тип вход, съвместими с RDP,
  • неочаквани промени в привилегиите след ново влизане
  • латерално движение (т.нар. разширяване) поведение,
  • действия за постоянство като планирани задачи и услуги.

Как изглежда откритие на предварително криптиране на практика?

Откритията преди криптиране не означават улавяне на всяко сканиране или всяка неуспешна опит за парола. Това означава надеждно улавяне на важните точки на преход.

  1. атакуващите се опитват да получат удостоверения ”,
  2. „атакуващите влязоха“
  3. „атакуващите разширяват обхвата“
  4. "атакуващите се подготвят да разположат".

Това е и причината, поради която указанията на CISA за ransomware подчертават ограничаването на рисковите отдалечени услуги като RDP и прилагането на най-добрите практики, ако RDP е необходим. Откритията и реакцията са част от реалността на най-добрите практики в среди, които не могат да бъдат преработени за една нощ.

Какво представлява минималната жизнеспособна телеметрия за откриване на проникване, водено от RDP?

Журнали за сигурност на Windows за събиране

Регистриране на събития - успешни и неуспешни влизания:

Ако направите само едно нещо, събирайте и централизирате събитията за сигурност на Windows за влизания:

RDP интерактивните сесии обикновено се показват като "удалени интерактивни" входове (обикновено тип вход 10 в много среди), и ще видите свързана активност, когато е активирана автентикация на ниво мрежа (NLA), тъй като автентикацията се извършва по-рано и може да бъде регистрирана по различен начин на крайното устройство и домейн контролера.

NB: Ако видите пропуски, проверете събитията на домейн контролера, свързани с валидиране на удостоверенията.

Какво да уловим от всяко събитие за инженерство на откритията:

  • целеви хост (дестинация),
  • име на акаунт и домейн
  • източник IP / име на работна станция (когато е налично),
  • тип на влизане,
  • пакет / процес на удостоверяване (когато е наличен)
  • кодове за причини за неуспех (за 4625).

RDS и логовете на TerminalServices, които добавят контекст

Сигурността на логовете ви казва "кой се е вписал и откъде". Логовете на RDS и Terminal Services помагат да разберете "как се е държала сесията", особено в среди на Remote Desktop Services с хостове на сесии.

Събирането на следните журнали прави триажа по-бърз, когато са включени множество сесии:

  • събития за свързване/развързване,
  • шаблони за повторно свързване на сесия
  • възходи в създаването на сесии на необичайни хостове.

Ако вашата среда е чисто „администраторски RDP в сървъра“, тези логове са по избор. Ако управлявате RDS ферми, те си струват.

Централизация и задържане: какво означава "достатъчно"

Откритията без централизация се превръщат в „отдалечаване в кутия и надежда, че логовете все още са там“. Централизирайте логовете в SIEM или платформа за логове, както и запазете достатъчно време за съхранение, за да видите бавни нахлувания.

Практическият минимум за разследвания на рансъмуер се измерва в седмици, а не в дни, тъй като брокерите на достъп могат да установят достъп много преди криптиране. Ако не можете да запазите всичко, запазете поне удостоверяване, промени в привилегиите, създаване на задачи/услуги и събития за защита на крайни точки.

Как можете да установите нормален RDP, така че известията да станат с висок сигнал?

Базова линия от потребител, източник, хост, време и резултат

Повечето RDP известия не успяват, защото не е направено базово измерване. RDP в реалния живот има модели, като:

  • специфичните администраторски акаунти използват специфични хостове за скок,
  • входовете се извършват по време на периоди на поддръжка,
  • определени сървъри никога не трябва да приемат интерактивни входове,
  • определени потребители никога не трябва да се удостоверяват на сървъри изобщо.

Основни тези размери:

  • потребител → типични хостове,
  • потребител → типични източници на IP адреси / подсетки,
  • потребител → типични времена за влизане,
  • хост → типични RDP потребители,
  • хост → типичен процент на успех на удостоверяването.

След това изградете известия, които се задействат при отклонения от този модел, а не само на базата на суровия обем.

Разделете администраторския RDP от потребителските RDS сесии, за да намалите шума.

Ако използвате RDS за крайни потребители, не смесвайте "шум от потребителски сесии" с "риска от администраторски път". Създайте отделни базови линии и открития за:

  • сесии на крайни потребители към хостове на сесии (очаквани),
  • администраторски сесии към инфраструктурни сървъри (по-висок риск),
  • администраторски сесии към контролерите на домейна (най-висок риск, често трябва да бъде "никога").

Тази разделеност е един от най-бързите начини да направите известията смислени, без да добавяте нови инструменти.

Марки за откриване с висок сигнал за улавяне на предшественици на рансъмуер

Целта тук не е повече открития. Тя е по-малко открития с по-ясна триаж на събитията.

За всяко откритие по-долу, започнете с "Само записи за сигурност", след което обогатете, ако имате EDR/Sysmon.

Паролно пръскане срещу брутфорс: откритие на базата на модели

Сигнал:

Много неуспешни влизания, разпределени между акаунти (спрей) или концентрирани в един акаунт (брутфорс).

Предложена логика:

  • Спрей: “>X неуспехи от един източник до >Y различни потребителски имена за Z минути”.
  • Брутен натиск : “>X неуспеха за едно потребителско име от един източник за Z минути”.

Настройка:

  • изключете известни хостове за скок и VPN изходи, от които произхождат много легитимни потребители,
  • настройте праговете според времето на деня (неуспехите след работно време имат по-голямо значение),
  • настройка за служебни акаунти, които легитимно не успяват (но също така проверете защо).

Триаж на следващите стъпки:

  • потвърдете репутацията на източника на IP и дали принадлежи на вашата среда,
  • проверете дали има успешен вход за същия източник малко след това,
  • ако е присъединен към домейн, проверете и неуспехите при валидиране на домейн контролера.

Значимост на зловредния софтуер:

Паролното пръскане е често срещана техника на "първоначален достъп", която предшества активност с ръце на клавиатурата.

Първоначално привилегирован RDP вход от нов източник

Сигнал:

Привилегирован акаунт (Domain Admins, администратори на сървъри, локални администратори) успешно се вписва чрез RDP от източник, който не е бил виждан преди.

Предложена логика:

  • Успешно влизане за привилегирован акаунт, при което източникът IP/работна станция не е в базовата история през последните N дни.

Настройка:

  • поддържайте списък с одобрени администраторски работни станции / хостове за скок,
  • обработвайте "първи път видян" по време на нормални промени по различен начин от 02:00.

Триаж на следващите стъпки:

  • проверете източника на крайна точка: управлява ли се от корпорацията, актуализиран ли е и очакван ли е?
  • проверете дали акаунтът е имал последни нулирания на паролата или заключвания,
  • търсете промени в привилегиите, създаване на задачи или създаване на услуги в рамките на 15–30 минути след влизането.

Значимост на зловредния софтуер:

Операторите на зловреден софтуер често преследват привилегирован достъп бързо, за да деактивират защитите и да разпространят криптиране широко.

RDP разширение: един източник, удостоверяващ се към много хостове

Сигнал:

Единствено работна станция или IP успешно се удостоверява на множество сървъри за кратък период от време.

Предложена логика:

  • Един източник с успешни влизания в >N различни целеви хостове за M минути.

Настройка:

  • изключете известни инструменти за управление и сървъри за скок, които легитимно докосват много хостове,
  • създайте отделни прагове за администраторски акаунти спрямо неадминистраторски акаунти,
  • стегнете праговете след работно време.

Триаж на следващите стъпки:

  • идентифицирайте "пивотния хост" (източника),
  • проверете дали се очаква акаунтът да управлява тези дестинации,
  • потърсете признаци на събиране на удостоверения или изпълнение на инструменти за отдалечен достъп на източниковия край.

Значимост на зловредния софтуер:

Латералното движение е как "едно компрометирано влизане" става "шифроване в цял домейн".

Успех на RDP, последван от промяна на привилегии или нов администратор

Сигнал:

Няколко минути след успешен вход, същият хост показва промени в потребителите или групите, които са в съответствие с ескалация на привилегиите (нов локален администратор, добавяне на членство в група).

Предложена логика:

  • Успешно влизане → в рамките на N минути: нова членство в администраторска група или създаване на нов локален потребител.

Настройка:

Триаж на следващите стъпки:

  • потвърдете целта на промяната (кой акаунт е получил администраторски права),
  • проверете дали новият акаунт се използва за допълнителни влизания веднага след това,
  • проверете дали актьорът след това е извършил движение на разширение.

Значимост на зловредния софтуер:

Промените в привилегиите са често предшественици на спиране на защитата и масово разгръщане.

Успех на RDP, последван от създаване на планирана задача или услуга

Сигнал:

Интерактивната сесия се следва от механизми за постоянство или разгръщане, като планирани задачи или нови услуги.

Предложена логика:

  • Успешно влизане → в рамките на N минути: планирана задача създадена или услуга инсталирана/създадена.

Настройка:

  • изключете известни инструменти за разгръщане на софтуер,
  • свържете с акаунта за вход и ролята на хоста (домейн контролерите и файловите сървъри трябва да бъдат изключително чувствителни).

Триаж на следващите стъпки:

  • идентифицирайте командния ред и бинарния път (EDR помага тук),
  • проверете дали задачата/услугата е насочена към множество крайни точки,
  • карантинирайте подозрителни бинарни файлове, преди да се разпространят.

Значимост на зловредния софтуер:

Планираните задачи и услуги са често срещани начини за разполагане на полезни натоварвания и изпълнение на криптиране в мащаб.

Сигнали за увреждане на защитата скоро след RDP (когато е наличен)

Сигнал:

Защитата на крайни точки е деактивирана, защитите от манипулации се задействат или инструментите за сигурност спират скоро след ново отдалечено влизане.

Предложена логика:

  • „RDP влизане от администратор → в рамките на N минути: събитие за деактивиране на защитния продукт или предупреждение за манипулация.“

Настройка:

  • възприемайте всяко увреждане на сървърите като по-висока сериозност от работните станции,
  • проверете дали времевите прозорци за поддръжка оправдават легитимни промени в инструментите.

Триаж на следващите стъпки:

Значимост на зловредния софтуер:

Увреждането на защитата е силен индикатор за активност на оператор с ръце на клавиатурата, а не за случайно сканиране.

Примерен списък за триаж при задействане на предупреждение за предшественик на RDP

Това е проектирано за бързина. Не се опитвайте да бъдете сигурни преди да действате. Предприемете действия, за да намалите радиуса на взрива, докато разследвате.

10-минутна триаж: потвърдете и идентифицирайте обхвата

  1. Потвърдете, че предупреждението е истинско идентифицирайте потребителя, източника, дестинацията, времето и типа на влизане (данни 4624/4625).
  2. Проверете дали източникът принадлежи на вашата мрежа, VPN изход или очакван хост за скок.
  3. Определете дали акаунтът е привилегирован и дали този хост изобщо трябва да приема интерактивни входове.
  4. Пивот на източника: колко неуспеха, колко успеха, колко дестинации?

Резултат: решете дали това е "вероятно злонамерено", "съмнително" или "очаквано".

30-минутно ограничаване: спиране на достъпа и ограничаване на разпространението

Лостове за ограничаване, които не изискват пълна сигурност:

  • деактивирайте или нулирайте подозрителните данни за вход на акаунта (особено на привилегированите акаунти),
  • блокирайте подозрителния източник на IP на ръба (разбирайки, че атакуващите могат да сменят)
  • временно премахнете RDP достъпа от широки групи (прилагане на минимални права),
  • изолирайте източниковия край, ако изглежда, че е център за разширено движение.

Насоките на CISA многократно подчертават ограничаване на дистанционни услуги като RDP и прилагане на строги практики, когато е необходимо, тъй като изложеното или слабо контролирано отдалечено достъпване е общ път за влизане.

60-минутно разширение на лов: проследяване на странично движение и етапиране

Сега предположете, че атакуващият се опитва да подготви.

  • Търсете допълнителни успешни влизания за същия акаунт на други хостове.
  • Търсете бързи промени в привилегиите, създаване на нови администратори и създаване на задачи/услуги на първия целеви хост.
  • Проверете файловите сървъри и виртуализационните хостове за аномални влизания (тези са "умножители на въздействието" на ransomware).
  • Проверете резервните копия и готовността за възстановяване, но не започвайте възстановявания, докато не сте уверени, че етапирането е спряло.

Къде се вписва TSplus Advanced Security?

Контроли с приоритет на защитата за намаляване на вероятността от ransomware, воден от RDP

Създаден за RDP и за сървъри на приложения

Откритията са критични, но зловредният софтуер, използващ протокола за отдалечен работен плот, често успява, защото нападателите могат да опитват удостоверения многократно, докато не проработи нещо, след което продължават напред, след като влязат. TSplus Advanced Security е един от най-добрите решения. защита на първия слой проектиран да намали тази вероятност, като активно ограничава и нарушава общите пътища на атака по RDP, които предшестват ransomware.

TSplus софтуерен пакет - вградена съвместимост

Поради своята допълняемост с детайлните ограничения и настройки за потребители и групи на TSplus Remote Access, той предоставя солидна защита срещу опити за атака на вашите сървъри на приложения.

Цялостна сигурност без пропуски

Практически, свиването на повърхността на удостоверяване и нарушаването на автоматизирани модели на злоупотреба с удостоверения е ключово. Участвайки в ограничаването на това, кой може да се свърже, откъде и при какви условия, както и изучавайки стандартни поведения и прилагайки защитни мерки за намаляване на ефективността на брутфорс и спрей атаки, Advanced Security предоставя солидни бариери. Това допълва стандартната хигиена на RDP, без да я заменя, и печели време, предотвратявайки едно късметлийско удостоверение да стане интерактивна опора.

Мултипликатор за инженеринг на открития: по-добър сигнал, по-бърз отговор

Контролите с приоритет на защитата също подобряват качеството на откритията. Когато шумът от брутфорс атаки в интернет мащаб е намален, основните линии се стабилизират по-бързо и праговете могат да бъдат по-строги. Уведомленията стават по-изпълними, тъй като по-малко събития причиняват фоново излъчване.

В инцидент ситуацията е важна на всеки етап. Ограниченията, основани на политики, стават незабавни лостове за реакция: блокирайте подозрителни източници, карантинирайте засегнатите области, стегнете разрешените модели на достъп, намалете разрешенията и ограничете възможностите за странично движение, докато разследването продължава.

Оперативен работен процес: лостове за ограничаване, свързани с вашите известия

Използвайте TSplus Advanced Security като "бързи превключватели", свързани с откритията в това ръководство:

  • Ако се наблюдава увеличение на спрей/брутфорс модел, затегнете правилата за достъп и увеличете автоматичното блокиране, за да спрете повторните опити.
  • Ако се появи първоначален привилегирован RDP вход от нов източник, ограничете привилегированите пътища за достъп до известни администраторски източници, докато не бъдат потвърдени.
  • Ако бъде открито движение на разширение, ограничете разрешените връзки, за да намалите разпространението, като същевременно изолирате основната крайна точка.

Този подход се фокусира първо върху откритие, но с реална защита на първо място около него, така че нападателят да не може да продължи да опитва, докато вие разследвате.

Заключение относно планирането на откриване на зловреден софтуер

Ransomware за протокола за отдалечен работен плот рядко пристига без предупреждение. Злоупотребата с удостоверения, необичайните модели на влизане и бързите промени след влизане често са видими много преди да започне криптиране. Чрез установяване на нормална активност на RDP и алармиране за малък набор от поведения с висок сигнал, ИТ екипите могат да преминат от реактивно почистване към ранно ограничаване .

Съчетаването на тези открития с контролите, насочени към защита, като ограничаване на пътищата за достъп и нарушаване на опитите за брутфорс с TSplus Advanced Security, намалява времето на престой на нападателя и печели минутите, които са важни при предотвратяване на въздействието на рансъмуер.

TSplus Remote Access Безплатен Пробен период

Краен алтернативен вариант на Citrix/RDS за достъп до десктоп/приложения. Сигурен, икономичен, локален/облачен.

Започнете безплатен пробен период

Споделяне:

Facebook Twitter LinkedIn

Вашият екип на TSplus

Допълнително четене

TSplus Remote Desktop Access - Advanced Security Software

Подобряване на цифровата защита: Какво е защита на крайни точки?

Какво е защита на крайни точки? Тази статия има за цел да овласти вземащите решения и ИТ агенти да подобрят мерките си за киберсигурност по отношение на защитата на крайните точки, осигурявайки висока оперативна производителност и защита на критичните данни.

Прочетете статията →
TSplus Remote Desktop Access - Advanced Security Software

Какъв е най-добрият софтуер за сигурност за Windows?

Този ръководител изследва детайлите, които правят софтуерната защита ефективна, помагайки ви да се справите с пазара на кибер защита, сравнява някои от най-добрите конкуренти и представя нашия собствен софтуер за напреднала сигурност.

Прочетете статията →
back to top of the page icon