Chtěli byste vidět stránku v jiném jazyce?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Změnit jazyk
Obsah
Banner for article "Remote Desktop Protocol Ransomware: Detection Engineering Facing RDP-led Intrusions", bearing article title, TSplus Advanced Security logo, TSplus website and topical illustration.

Proč průvodce detekcí ransomwaru s vysokým signálem pro protokol vzdálené plochy?

Protokol vzdálené plochy (RDP) incidenty ransomware často začínají stejným způsobem: zneužití přihlašovacích údajů, úspěšné interaktivní přihlášení a tichý laterální pohyb před šifrováním. Mnoho týmů již zná základy zpevnění RDP ale operátoři ransomwaru se stále dostávají skrze, když je monitorování příliš hlučné nebo triáž příliš pomalá.

Tato příručka se zaměřuje na inženýrství detekce pro útoky vedené RDP: minimální telemetrie k shromáždění, jak stanovit základní zvyky, určit šest vzorců s vysokým signálem a naplánovat praktický triážní pracovní postup, jak jednat před šifrováním.

RDP Ransomware: Proč je detekce důležitá?

Řetězec RDP na ransomware, který můžete skutečně pozorovat

RDP není „exploitem“ ve většině příběhů o ransomwaru využívajícím Remote Desktop Protocol. RDP je interaktivní kanál, který útočníci používají poté, co získají přihlašovací údaje, a poté znovu využívají tento stejný kanál k pohybu mezi systémy. CISA upozornění na skupiny ransomware opakovaně dokumentovat použití kompromitovaných přihlašovacích údajů a RDP pro pohyb uvnitř prostředí.

Dobrou zprávou je, že tento pracovní postup zanechává stopy, které jsou pozorovatelné ve většině prostředí Windows, i bez pokročilých nástrojů:

  • neúspěchy a úspěchy autentizace,
  • typy přihlášení vzorů konzistentní s RDP,
  • náhlé změny oprávnění po novém přihlášení,
  • lateral movement (aka. fan-out) chování,
  • akce trvalosti jako naplánované úkoly a služby.

Jak vypadá detekce předšifrování v praxi?

Detekce před šifrováním neznamená zachytit každé skenování nebo každý neúspěšný pokus o heslo. Znamená to spolehlivě zachytit přechodové body, které jsou důležité:

  1. útočníci se snaží o přihlašovací údaje ”,
  2. útočníci se dostali dovnitř
  3. “útočníci rozšiřují dosah”
  4. “útočníci se připravují na nasazení.”

To je také důvod, proč pokyny CISA k ransomwaru zdůrazňují omezení rizikových vzdálených služeb, jako je RDP, a uplatnění osvědčených postupů, pokud je RDP nezbytné. Detekce a reakce jsou součástí reality osvědčených postupů v prostředích, která nejsou schopna se přes noc přepracovat.

Co tvoří minimální životaschopnou telemetrii pro detekci narušení vedenou RDP?

Windows Security protokoly k shromáždění

Záznam událostí - úspěšné a neúspěšné přihlášení:

Pokud uděláte jen jednu věc, shromážděte a centralizujte události zabezpečení systému Windows pro přihlášení:

RDP interaktivní relace se obvykle zobrazují jako „vzdálené interaktivní“ přihlášení (běžně typ přihlášení 10 v mnoha prostředích) a také uvidíte související aktivitu, když je povolena autentizace na úrovni sítě (NLA), protože autentizace probíhá dříve a může být na koncovém bodě a doménovém řadiči zaznamenána jinak.

NB: Pokud vidíte mezery, zkontrolujte události řadiče domény související s ověřováním přihlašovacích údajů.

Co zachytit z každé události pro inženýrství detekce:

  • cílový hostitel (cílový)
  • název účtu a doména
  • zdrojová IP / název pracovního stanice (pokud je přítomen),
  • typ přihlášení,
  • autentizační balíček / proces (pokud je přítomen),
  • kódy důvodů selhání (pro 4625).

RDS a logy TerminalServices, které přidávají kontext

Bezpečnostní protokoly vám říkají „kdo se přihlásil a odkud“. Protokoly RDS a Terminal Services vám pomáhají říci „jak se relace chovala“, zejména v prostředích Služeb vzdálené plochy s hostiteli relací.

Shromažďování následujících protokolů urychluje třídění, když je zapojeno více relací:

  • události připojení/odpojení,
  • vzory opětovného připojení relace,
  • nárůst v vytváření relací na neobvyklých hostitelích.

Pokud je vaše prostředí čistě „admin RDP do serveru“, tyto protokoly jsou volitelné. Pokud provozujete RDS farmy, stojí za to je mít.

Centralizace a uchovávání: jak vypadá „dostatečné“

Detekce bez centralizace se mění na „dálkové umístění do krabice a doufání, že protokoly stále existují“. Centralizujte protokoly do SIEM nebo logovací platformy a také uchovávejte dostatečnou dobu, abyste viděli pomalé vniknutí.

Praktické minimum pro vyšetřování ransomwaru se měří v týdnech, nikoli dnech, protože zprostředkovatelé přístupu mohou získat přístup dlouho před šifrováním. Pokud nemůžete uchovat vše, uchovejte alespoň autentizaci, změny oprávnění, vytváření úloh/služeb a události ochrany koncových bodů.

Jak můžete stanovit základní úroveň normálního RDP, aby upozornění měla vysokou signální hodnotu?

Základna podle uživatele, zdroje, hostitele, času a výsledku

Většina upozornění RDP selhává, protože nebylo provedeno základní měření. RDP v reálném životě má vzory, jako například:

  • specifické administrátorské účty používají specifické skokové hostitele,
  • přihlašování probíhá během údržbových oken,
  • určité servery by nikdy neměly přijímat interaktivní přihlášení,
  • určité uživatele by nikdy neměli autentizovat na serverech.

Základní tyto rozměry:

  • uživatel → typičtí hostitelé,
  • uživatel → typické zdrojové IP adresy / podsítě,
  • uživatel → typické časy přihlášení,
  • host → typičtí uživatelé RDP,
  • host → typická úspěšnost autentizace.

Poté vytvořte upozornění, která se aktivují při odchylkách od tohoto modelu, nikoli pouze na základě hrubého objemu.

Oddělte administrátorské RDP od uživatelských RDS relací, abyste snížili šum.

Pokud provozujete RDS pro koncové uživatele, nemíchejte „šum uživatelských relací“ s „rizikem administrátorské cesty“. Vytvořte samostatné základní linie a detekce pro:

  • koncové uživatelské relace k hostitelům relací (očekáváno),
  • admin sessions na infrastrukturní servery (vyšší riziko),
  • admin sessions to domain controllers (nejvyšší riziko, často by mělo být „nikdy“).

Toto oddělení je jedním z nejrychlejších způsobů, jak učinit upozornění smysluplnými, aniž by bylo potřeba přidávat nové nástroje.

Vysokosignální detekční markery pro zachycení předchůdců ransomwaru

Cílem zde není více detekcí. Je to méně detekcí s jasnějším tříděním událostí.

Pro každé níže uvedené zjištění začněte „Pouze bezpečnostní protokoly“, poté obohaťte, pokud máte EDR/Sysmon.

Spraying hesel vs hrubá síla: detekce založená na vzorcích

Signál:

Mnoho neúspěšných přihlášení rozložených mezi účty (spray) nebo soustředěných na jeden účet (bruteforce).

Navrhovaná logika:

  • Sprej: „>X selhání z jednoho zdroje na >Y různých uživatelských jmen během Z minut.“
  • Bruteforce : „>X selhání pro jedno uživatelské jméno z jednoho zdroje za Z minut.“

Ladění:

  • vyloučit známé skokové hostitele a VPN výstupy, odkud pochází mnoho legitimních uživatelů,
  • ladit prahové hodnoty podle denní doby (selhání mimo pracovní dobu mají větší význam),
  • ladění pro servisní účty, které legitimně selhávají (ale také ověřte proč).

Triage další kroky:

  • potvrďte pověst zdrojové IP a zda patří do vašeho prostředí,
  • zkontrolujte, zda existuje nějaké úspěšné přihlášení ze stejného zdroje krátce poté,
  • pokud je připojeno k doméně, zkontrolujte také selhání ověření řadiče domény.

Relevance ransomware:

Password spraying je běžná technika „brokerů počátečního přístupu“, která předchází aktivitě s klávesnicí.

První privilegovaný RDP přihlášení z nového zdroje

Signál:

Privilegovaný účet (Domain Admins, správci serveru, ekvivalenty místního administrátora) se úspěšně přihlásil přes RDP z zdroje, který nebyl dosud zaznamenán.

Navrhovaná logika:

  • „Úspěšné přihlášení pro privilegovaný účet, kde zdrojová IP/pracovní stanice není v základní historii za posledních N dní.“

Ladění:

  • udržovat seznam schválených pracovních stanic administrátorů / skokových hostitelů,
  • zacházet s „poprvé viděno“ během běžných změnových oken jinak než v 02:00.

Triage další kroky:

  • ověřte zdrojový koncový bod: je spravován firmou, aktualizován a očekávaný?
  • zkontrolujte, zda měl účet nedávné resetování hesla nebo zablokování
  • hledat změny oprávnění, vytvoření úkolu nebo vytvoření služby během 15–30 minut po přihlášení.

Relevance ransomware:

Operátoři ransomwaru často rychle usilují o privilegovaný přístup, aby deaktivovali obranu a široce nasadili šifrování.

RDP fan-out: jeden zdroj autentizující se k mnoha hostitelům

Signál:

Jednotlivý pracovní stanice nebo IP autentizuje se úspěšně na více serverech během krátkého časového okna.

Navrhovaná logika:

  • „Jeden zdroj s úspěšnými přihlášeními k >N různým cílovým hostitelům za M minut.“

Ladění:

  • vyloučit známé nástroje pro správu a skokové servery, které legitimně zasahují do mnoha hostitelů,
  • vytvořit samostatné prahové hodnoty pro administrátorské účty vs neadministrátorské účty,
  • utáhnout prahy mimo pracovní dobu.

Triage další kroky:

  • identifikujte „pivotní hostitel“ (zdroj),
  • ověřte, zda se očekává, že účet bude spravovat tato místa určení,
  • hledat známky sběru přihlašovacích údajů nebo provádění vzdáleného nástroje na zdrojovém koncovém bodě.

Relevance ransomware:

Laterální pohyb je způsob, jak se „jedno kompromitované přihlášení“ stává „šifrováním v celém doméně“.

Úspěch RDP následovaný změnou oprávnění nebo novým správcem

Signál:

Krátce po úspěšném přihlášení stejný host ukazuje změny uživatelů nebo skupin, které jsou v souladu s eskalací oprávnění (nový místní administrátor, přidání členství do skupiny).

Navrhovaná logika:

  • „Úspěšné přihlášení → během N minut: nové členství v administrátorské skupině nebo vytvoření nového místního uživatele.“

Ladění:

Triage další kroky:

  • ověřte cílovou změnu (který účet byl udělen administrátorovi),
  • zkontrolujte, zda je nový účet používán pro další přihlášení ihned po,
  • zkontrolujte, zda herec poté provedl pohyb fan-out.

Relevance ransomware:

Změny oprávnění jsou běžným předchůdcem vypnutí obrany a hromadného nasazení.

Úspěch RDP následovaný vytvořením naplánované úlohy nebo služby

Signál:

Interaktivní relaci následují mechanismy trvalosti nebo nasazení, jako jsou naplánované úkoly nebo nové služby.

Navrhovaná logika:

  • „Úspěšné přihlášení → do N minut: naplánovaná úloha vytvořena nebo služba nainstalována/vytvořena.“

Ladění:

  • vyloučit známé nástroje pro nasazení softwaru,
  • souvisejte s přihlašovacím účtem a rolí hostitele (doménové řadiče a souborové servery by měly být extrémně citlivé).

Triage další kroky:

  • identifikujte příkazový řádek a cestu k binárnímu souboru (EDR zde pomáhá),
  • zkontrolujte, zda úkol/služba cílí na více koncových bodů,
  • karanténa podezřelých binárních souborů, než se rozšíří.

Relevance ransomware:

Naplánované úkoly a služby jsou běžné způsoby, jak připravit payloady a provádět šifrování ve velkém měřítku.

Signály poškození obrany brzy po RDP (když je k dispozici)

Signál:

Ochrana koncových bodů je zakázána, spouští se ochrany proti manipulaci nebo bezpečnostní nástroje se brzy po novém vzdáleném přihlášení zastaví.

Navrhovaná logika:

  • „RDP přihlášení administrátora → během N minut: událost deaktivace bezpečnostního produktu nebo upozornění na manipulaci.“

Ladění:

  • považujte jakékoli poškození serverů za vyšší závažnost než u pracovních stanic,
  • ověřte, zda okna údržby ospravedlňují legitimní změny nástrojů.

Triage další kroky:

  • izolujte hostitele, pokud to můžete udělat bezpečně,
  • deaktivovat relaci účtu a otáčet přihlašovací údaje,
  • hledání stejného účtu na jiných hostitelích.

Relevance ransomware:

Zhoršení obrany je silným ukazatelem aktivity operátora u klávesnice, nikoli náhodného skenování.

Příklad triážního kontrolního seznamu pro případ, že se spustí upozornění na předchůdce RDP

Toto je navrženo pro rychlost. Nepokoušejte se být si jisti před jednáním. Podnikejte kroky k omezení rozsahu výbuchu, zatímco vyšetřujete.

10minutová triáž: potvrďte a identifikujte rozsah

  1. Potvrďte, že je upozornění skutečné identifikovat uživatele, zdroj, cíl, čas a typ přihlášení (data 4624/4625).
  2. Zkontrolujte, zda zdroj patří do vaší sítě, VPN výstup nebo očekávaný skokový hostitel.
  3. Určete, zda je účet privilegovaný a zda by tento host měl vůbec přijímat interaktivní přihlášení.
  4. Pivot na zdroji: kolik selhání, kolik úspěchů, kolik destinací?

Výsledek: rozhodněte, zda je to „pravděpodobně škodlivé“, „podezřelé“ nebo „očekávané“.

30minutové omezení: zastavit přístup a omezit šíření

Páky zadržení, které nevyžadují plnou jistotu:

  • deaktivovat nebo resetovat podezřelé přihlašovací údaje účtu (zejména privilegovaných účtů),
  • zablokovat podezřelou zdrojovou IP na okraji (s pochopením, že útočníci mohou rotovat),
  • dočasně odebrat přístup RDP širokým skupinám (vynucení minimálních oprávnění),
  • izolujte zdrojový koncový bod, pokud se zdá, že je pivotem pro rozšíření pohybu.

CISA opakovaně zdůrazňuje omezení vzdálených služeb, jako je RDP a aplikací silných praktik, když je to nutné, protože vystavený nebo slabě kontrolovaný vzdálený přístup je běžnou cestou pro vstup.

60minutové rozšíření lovu: sledování bočního pohybu a přípravy

Nyní předpokládejte, že útočník se snaží připravit.

  • Hledejte další úspěšné přihlášení ke stejnému účtu na jiných hostitelích.
  • Hledejte rychlé změny oprávnění, novou tvorbu administrátorů a vytváření úloh/služeb na prvním cílovém hostiteli.
  • Zkontrolujte souborové servery a virtualizační hostitele na abnormální přihlášení (tyto jsou "multiplikátory dopadu" ransomwaru).
  • Ověřte zálohy a připravenost na obnovení, ale nezačínejte obnovy, dokud si nejste jisti, že staging se zastavil.

Kde se hodí TSplus Advanced Security?

Ochranné prvky s prioritou obrany pro snížení pravděpodobnosti ransomwaru vedeného RDP

Vyrobeno pro RDP a pro aplikační servery

Detekce je kritická, ale ransomware protokolu Remote Desktop často uspěje, protože útočníci mohou opakovaně zkoušet přihlašovací údaje, dokud něco nefunguje, a poté se mohou pohybovat dál, jakmile se dostanou dovnitř. TSplus Advanced Security je a obrana-první vrstva navrženo tak, aby snížilo tuto pravděpodobnost aktivním omezováním a narušováním běžných cest útoků RDP, které předcházejí ransomwaru.

TSplus softwarová sada - vestavěná komplementarita

Vzhledem k jeho doplňkovosti k podrobným omezením a nastavením uživatelů a skupin v TSplus Remote Access poskytuje silnou obranu proti pokusům o útok na vaše aplikační servery.

Komplexní zabezpečení, které nezanechává žádné mezery

Prakticky je klíčové zmenšit povrch autentizace a přerušit vzorce automatizovaného zneužívání přihlašovacích údajů. Účastí na omezení toho, kdo se může připojit, odkud a za jakých podmínek, stejně jako učením standardního chování a aplikováním ochranných opatření ke snížení účinnosti útoků hrubou silou a sprejových útoků, poskytuje Advanced Security pevné bariéry. To doplňuje standardní hygienu RDP, aniž by ji nahrazovalo, a získává čas tím, že brání jednomu šťastnému přihlašovacímu údaji stát se interaktivním výchozím bodem.

Detekční inženýrství násobitel: lepší signál, rychlejší reakce

Ochranné prvky zaměřené na obranu také zlepšují kvalitu detekce. Když je sníženo šumění hrubé síly na úrovni internetu, základní hodnoty se stabilizují rychleji a prahy mohou být přísnější. Upozornění se stávají více akčními, protože méně událostí způsobuje pozadí.

V incidentu záleží na rychlosti na každé úrovni. Opatření řízená politikou se stávají okamžitými nástroji reakce: blokovat podezřelé zdroje, karanténovat postižené oblasti, zpřísnit povolené vzorce přístupu, snížit oprávnění a omezit příležitosti k laterálnímu pohybu, zatímco probíhá vyšetřování.

Operační workflow: páky pro omezení mapované na vaše upozornění

Použít TSplus Advanced Security jako „rychlé přepínače“ spojené s detekcemi v této příručce:

  • Pokud dojde k nárůstu vzoru spreje/bruteforce, zpřísněte pravidla přístupu a zvyšte automatické blokování, abyste zastavili opakované pokusy.
  • Pokud se poprvé objeví privilegovaný RDP přístup z nového zdroje, omezte privilegované přístupové cesty na známé administrátorské zdroje, dokud nebude ověřeno.
  • Pokud je detekován fan-out pohyb, omezte povolené připojení, abyste snížili šíření, zatímco izolujete pivotní koncový bod.

Tento přístup se zaměřuje na detekci jako první, ale s opravdovou ochranou jako prioritou, aby útočník nemohl neustále zkoušet, zatímco vy vyšetřujete.

Závěr o plánování detekce ransomwaru

Ransomware protokol Remote Desktop se zřídka objevuje bez varování. Zneužití přihlašovacích údajů, neobvyklé vzory přihlášení a rychlé změny po přihlášení jsou často viditelné dlouho před tím, než začne šifrování. Vytvořením základní linie normální aktivity RDP a upozorňováním na malou sadu vysoce signálních chování mohou IT týmy přejít od reaktivního úklidu k včasné zadržení .

Párování těchto detekcí s kontrolami zaměřenými na obranu, jako je omezení přístupových cest a narušení pokusů o hrubou sílu pomocí TSplus Advanced Security, snižuje dobu setrvání útočníka a získává minuty, které jsou důležité při prevenci dopadu ransomwaru.

TSplus Bezplatná zkušební verze vzdáleného přístupu

Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud

Začněte bezplatnou zkušební verzi.

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Další čtení

back to top of the page icon