Etätyöpöytäprotokolla Ransomware: Tunnistusinsinööri RDP: n aiheuttamien hyökkäysten kohtaaminen

Miksi etätyöpöytäprotokollan kiristysohjelman korkean signaalin havaitsemisopas?

Etätyöpöytäprotokollan (RDP) ransomware-tapaukset alkavat usein samalla tavalla: käyttäjätietojen väärinkäyttö, onnistunut interaktiivinen kirjautuminen ja hiljainen sivusuuntaliike ennen salausta. Monet tiimit tuntevat jo perusteet RDP:n kovettaminen mutta kiristysohjelmien operaattorit pääsevät silti läpi, kun valvonta on liian meluisaa tai triage liian hidasta.

Tämä opas keskittyy RDP-pohjaisten tunkeutumisten havaitsemisen insinöörityöhön: vähimmäistelemetria kerättäväksi, kuinka perustaa tavat, tunnistaa kuusi korkean signaalin hälytysmallia ja suunnitella käytännön triage-työnkulku toimimiseen ennen salausta.

RDP Ransomware: Miksi havaitseminen on tärkeää?

RDP-ransomware-ketju, jonka voit todella havaita

RDP ei ole "hyökkäys" useimmissa etätyöpöytäprotokollan kiristysohjelmatarinoissa. RDP on interaktiivinen kanava, jota hyökkääjät käyttävät sen jälkeen, kun he ovat saaneet käyttöoikeustiedot, ja sitten he käyttävät samaa kanavaa siirtyäkseen järjestelmien välillä. CISA:n ilmoitukset kiristysohjelmaryhmistä toistuvasti dokumentoidaan vaarantuneiden käyttäjätunnusten ja RDP:n käyttöä ympäristöissä liikkumiseen.

Hyvä uutinen on, että tämä työnkulku jättää jälkiä, jotka ovat havaittavissa useimmissa Windows-ympäristöissä, jopa ilman kehittyneitä työkaluja:

• todennusvirheet ja -onnistumiset,
• RDP:hen liittyvät kirjautumistyyppimallit
• yhtäkkiä tapahtuvat käyttöoikeuden muutokset uuden kirjautumisen jälkeen,
• sivuttaisliikettä (tunnetaan myös nimellä fan-out) käyttäytyminen,
• kestävyystoimet, kuten aikataulutetut tehtävät ja palvelut.

Miltä esisalauksen havaitseminen näyttää käytännössä?

Esikryptauksen havaitseminen ei tarkoita jokaisen skannauksen tai epäonnistuneen salasanayrityksen kiinniottamista. Se tarkoittaa luotettavasti tärkeiden siirtymakohtien havaitsemista.

1. “ hyökkääjät yrittävät tunnistetietoja ”,
2. hyökkääjät pääsivät sisään
3. hyökkääjät laajentavat ulottuvuuttaan
4. “hyökkääjät valmistelevat käyttöönottoa.”

Siksi CISA:n ransomware-ohjeistus korostaa riskialttiiden etäpalveluiden, kuten RDP:n, rajoittamista ja parhaiden käytäntöjen soveltamista, jos RDP:tä tarvitaan. Havaitseminen ja reagointi ovat osa parhaiden käytäntöjen todellisuutta ympäristöissä, jotka eivät pysty suunnittelemaan uudelleen yhdessä yössä.

Mikä muodostaa vähimmäisvaatimukset RDP-pohjaiselle tunkeutumisen havaitsemiselle?

Windowsin suojauslokit kerättävä

Tapahtumalokit - onnistuneet ja epäonnistuneet kirjautumiset:

Jos teet vain yhden asian, kerää ja keskitetään Windowsin turvallisuustapahtumat kirjautumisia varten:

• Tapahtuma ID 4624: onnistunut kirjautuminen
• Tapahtuma ID 4625: epäonnistunut kirjautuminen

RDP-interaktiiviset istunnot näkyvät tyypillisesti "etäinteraktiivisina" kirjautumisina (yleisesti kirjautumistyyppi 10 monissa ympäristöissä), ja näet myös siihen liittyvää toimintaa, kun verkkotason todennus (NLA) on käytössä, koska todennus tapahtuu aikaisemmin ja se voidaan kirjata eri tavalla päätepisteessä ja verkkotunnusohjaimessa.

NB: Jos näet aukkoja, tarkista myös käyttöoikeustodistuksen vahvistamiseen liittyvät verkkotunnuksen ohjaimen tapahtumat.

Mitä kunkin tapahtuman osalta tulee tallentaa havaitsemisen suunnittelua varten:

• kohdeisäntä (kohde),
• tilin nimi ja verkkotunnus,
• lähde IP / työaseman nimi (kun se on läsnä),
• kirjautumistyyppi,
• todennuspaketti / prosessi (kun se on läsnä),
• virheelliset syykoodit (4625:lle).

RDS- ja TerminalServices-lokit, jotka lisäävät kontekstia

Turvallisuuslokit kertovat sinulle "kuka kirjautui sisään ja mistä". RDS- ja Terminal Services -lokit auttavat kertomaan "kuinka istunto käyttäytyi", erityisesti etätyöpöytäpalveluympäristöissä, joissa on istuntoisäntiä.

Keräämällä seuraavat lokit triage on nopeampaa, kun useita istuntoja on mukana:

• yhteys/katkaisu tapahtumat,
• istunnon uudelleen yhdistämismallit,
• istuntojen luomisen piikit epätavallisilla isännillä.

Jos ympäristösi on pelkkä "admin RDP palvelimelle", nämä lokit ovat valinnaisia. Jos käytät RDS-tiloja, ne ovat sen arvoisia.

Keskittäminen ja säilyttäminen: miltä "riittävä" näyttää

Havaitseminen ilman keskittämistä muuttuu "etäisyydelle laatikkoon ja toivomaan, että lokit ovat edelleen siellä". Keskitä lokit SIEM:iin tai lokialustalle sekä pidä tarpeeksi säilytysaikaa, jotta voit nähdä hitaita tunkeutumisyrityksiä.

Ransomware-tutkimusten käytännön vähimmäisaika mitataan viikoissa, ei päivissä, koska pääsynvälittäjät voivat luoda pääsyn kauan ennen salausta. Jos et voi säilyttää kaikkea, säilytä ainakin todennus, käyttöoikeuden muutokset, tehtävän/palvelun luominen ja päätepisteen suojaustapahtumat.

Miten voit perustaa normaalin RDP:n, jotta hälytyksistä tulee korkean signaalin?

Käyttäjän, lähteen, isännän, ajan ja tuloksen mukaan määritelty perusta

Useimmissa RDP-hälytyksissä epäonnistutaan, koska peruslinjausta ei ole tehty. RDP:llä on todellisessa elämässä kaavoja, kuten:

• tietyt ylläpitotilit käyttävät tiettyjä hyppäysisäntiä,
• kirjautumiset tapahtuvat huoltoaikojen aikana,
• tietyt palvelimet eivät koskaan saisi hyväksyä interaktiivisia kirjautumisia,
• tiettyjen käyttäjien ei pitäisi koskaan todentaa palvelimille lainkaan.

Perustaso nämä mitat:

• käyttäjä → tyypilliset isännät,
• käyttäjä → tyypilliset lähde IP-osoitteet / aliverkot,
• käyttäjä → tyypilliset kirjautumisajat,
• isäntä → tyypilliset RDP-käyttäjät,
• isäntä → tyypillinen todennuksen onnistumisprosentti.

Rakenna sitten hälytyksiä, jotka aktivoituvat poikkeamista kyseisestä mallista, eivätkä pelkästään raakamäärästä.

Erota ylläpito RDP käyttäjän RDS-istunnoista melun vähentämiseksi

Jos käytät RDS:ää loppukäyttäjille, älä sekoita "käyttäjäistunnon melua" "ylläpitopolun riskiin". Luo erilliset perustasot ja havaitsemiset:

• loppukäyttäjäistunnot istuntoisäntiin (odotettu),
• administatiiviset istunnot infrastruktuuripalvelimille (korkeampi riski),
• administatiiviset istunnot verkkotunnuksen ohjaimiin (korkein riski, usein pitäisi olla "ei koskaan").

Tämä erottelu on yksi nopeimmista tavoista tehdä hälytyksistä merkityksellisiä ilman uusien työkalujen lisäämistä.

Korkean signaalin havaitsemismerkit kiristysohjelmien ennakoimiseksi

Tavoite ei ole enemmän havaintoja. Tavoitteena on vähemmän havaintoja selkeämmällä tapahtumien luokittelulla.

Jokaisen alla olevan havaitsemisen osalta aloita "Vain turvallisuuslokit", ja lisää tietoja, jos sinulla on EDR/Sysmon.

Salasanasuihkutus vs bruteforce: kaavioon perustuva havaitseminen

Signaali:

Monet epäonnistuneet kirjautumiset jakautuvat tileille (suihku) tai keskittyvät yhteen tiliin (brute force).

Ehdotettu logiikka:

• Suihke: “>X epäonnistumista yhdestä lähteestä >Y erilaiseen käyttäjänimeen Z minuutissa.”
• Brute force : ">X epäonnistumista yhdelle käyttäjänimelle yhdestä lähteestä Z minuutissa."

Viritys:

• poissulje tunnetut hyppäysisännät ja VPN-lähdöt, joista monet lailliset käyttäjät tulevat,
• säädä kynnysarvoja vuorokaudenajan mukaan (työajan ulkopuoliset epäonnistumiset ovat tärkeämpiä),
• säädä palvelutilille, jotka oikeutetusti epäonnistuvat (mutta myös varmista syy).

Seuraavat vaiheet:

• vahvista lähde-IP:n maine ja onko se osa ympäristöäsi,
• tarkista, onko samaan lähteeseen liittyviä onnistuneita kirjautumisia lyhyen ajan sisällä,
• jos on liitetty verkkotunnukseen, tarkista myös verkkotunnusohjaimen vahvistusvirheet.

Ransomware-merkitys:

Salasanasuihkutus on yleinen "alkupääsyvälittäjä" -tekniikka, joka edeltää käytännön näppäimistötoimintaa.

Ensimmäinen etuoikeutettu RDP-kirjautuminen uudesta lähteestä

Signaali:

Privilegian tili (Domain Admins, palvelinadminit, paikallisen adminin vastineet) kirjautuu onnistuneesti RDP:n kautta lähteestä, jota ei ole aiemmin nähty.

Ehdotettu logiikka:

• "Onnistunut kirjautuminen etuoikeutettuun tiliin, jossa lähde-IP/työasema ei ole peruslinjassa viimeisten N päivän aikana."

Viritys:

• pidä hyväksyttyjen ylläpitäjien työasemien / hyppäysisäntien sallittua luetteloa,
• käsittele "ensimmäistä kertaa nähty" normaalien muutosaikojen aikana eri tavalla kuin klo 02:00.

Seuraavat vaiheet:

• vahvista lähteen päätepiste: onko se yrityksen hallinnoima, päivitetty ja odotettu?
• tarkista, onko tilillä ollut äskettäisiä salasanan nollauksia tai lukituksia,
• etsi etuoikeuden muutoksia, tehtävän luomista tai palvelun luomista 15–30 minuutin kuluessa kirjautumisesta.

Ransomware-merkitys:

Ransomware-käyttäjät pyrkivät usein nopeasti saamaan etuoikeutetun pääsyn, jotta he voivat poistaa puolustukset ja laajentaa salausta.

RDP-fanout: yksi lähde, joka todennetaan monille isännille

Signaali:

Yksi työasema tai IP todentaa onnistuneesti useille palvelimille lyhyessä aikarajassa.

Ehdotettu logiikka:

• "Yksi lähde, jossa on onnistuneita kirjautumisia >N erilaiseen kohdepalvelimeen M minuutissa."

Viritys:

• jätä pois tunnetut hallintatyökalut ja hyppypalvelimet, jotka laillisesti koskettavat monia isäntiä,
• luo erilliset kynnysarvot ylläpito- ja ei-ylläpitotileille,
• tiukentaa kynnystä työajan ulkopuolella.

Seuraavat vaiheet:

• tunnista "pivot-hosti" (lähde),
• vahvista, onko tilin odotettu hallitsevan näitä kohteita,
• etsi merkkejä käyttöoikeustietojen keräämisestä tai etätyökalujen suorittamisesta lähdepisteessä.

Ransomware-merkitys:

Sivuttaisliike on tapa, jolla "yksi vaarantunut kirjautuminen" muuttuu "verkkotason salaukseksi".

RDP:n onnistuminen, jota seuraa etuoikeuden muutos tai uusi järjestelmänvalvoja

Signaali:

Lyhyesti sen jälkeen, kun kirjautuminen on onnistunut, sama isäntä näyttää käyttäjä- tai ryhmämuutoksia, jotka ovat johdonmukaisia etuoikeuksien nostamisen kanssa (uusi paikallinen ylläpitäjä, ryhmän jäsenyyden lisäykset).

Ehdotettu logiikka:

• “Onnistunut kirjautuminen → N minuutin sisällä: uusi ylläpitäjäryhmän jäsenyys tai uusi paikallinen käyttäjän luominen.”

Viritys:

• salli tunnetut varausikkunat, mutta vaadi muutostikettejä poikkeuksille,
• kiinnitä erityistä huomiota, kun muutos tehdään käyttäjän toimesta harvoin ylläpitotehtäviä suorittava käyttäjä .

Seuraavat vaiheet:

• vahvista muutoksen kohde (mikä tili sai ylläpitäjän oikeudet),
• tarkista, käytetäänkö uutta tiliä lisälokautumisiin heti sen jälkeen,
• tarkista, suorittiko näyttelijä sitten fan-out-liikettä.

Ransomware-merkitys:

Etuoikeuden muutokset ovat yleinen ennusmerkki puolustuksen sulkemiselle ja massajakelulle.

RDP:n onnistuminen, jota seuraa aikataulutettu tehtävä tai palvelun luominen

Signaali:

Interaktiivista istuntoa seuraa pysyvyys- tai käyttöönotto mekanismeja, kuten aikataulutettuja tehtäviä tai uusia palveluja.

Ehdotettu logiikka:

• “Onnistunut kirjautuminen → N minuutin sisällä: aikataulutettu tehtävä luotu tai palvelu asennettu/luotu.”

Viritys:

• poissulje tunnetut ohjelmiston käyttöönotto työkalut,
• korreloi kirjautumistilin ja isäntäroolin kanssa (verkkotunnusohjaimien ja tiedostopalvelimien tulisi olla erittäin herkkiä).

Seuraavat vaiheet:

• tunnista komentorivi ja binääripolku (EDR auttaa tässä),
• tarkista, kohdistuuko tehtävä/palvelu useisiin päätepisteisiin,
• karanteeni epäilyttävät binäärit ennen kuin ne leviävät.

Ransomware-merkitys:

Aikataulutetut tehtävät ja palvelut ovat yleisiä tapoja valmistella kuormia ja suorittaa salausta suuressa mittakaavassa.

RDP:n (kun saatavilla) jälkeen tapahtuvat puolustuksen heikentymisen signaalit.

Signaali:

Päätepisteen suojaus on pois käytöstä, manipulointisuojat aktivoituvat tai tietoturvatyökalut lakkaavat toimimasta pian uuden etäkirjautumisen jälkeen.

Ehdotettu logiikka:

• "RDP-kirjautuminen ylläpitäjän toimesta → N minuutin sisällä: turvallisuustuotteen poistaminen käytöstä tai manipulointihälytys."

Viritys:

• käsittele kaikkia palvelimien vikoja vakavampina kuin työasemien vikoja,
• tarkista, onko huoltovälin perustelut oikeutettuja työkalumuutoksia varten.

Seuraavat vaiheet:

• eristä isäntä, jos voit tehdä sen turvallisesti,
• poista tilin istunto käytöstä ja kierrätä käyttöoikeustietoja,
• etsi samaa tiliä muilta isänniltä.

Ransomware-merkitys:

Puolustuksen heikentyminen on vahva indikaattori käytännön näppäimistötoiminnasta, ei satunnaisesta skannauksesta.

Esimerkkitarkistuslista RDP-esivaroituksen aktivoitumiselle

Tämä on suunniteltu nopeutta varten. Älä yritä olla varma ennen toimimista. Toimi vähentääksesi räjähdyssäteilyä tutkiessasi.

10 minuutin triage: vahvista ja määritä laajuus

1. Vahvista, että hälytys on todellinen tunnista käyttäjä, lähde, kohde, aika ja kirjautumistyyppi (4624/4625 tiedot).
2. Tarkista, kuuluuko lähde verkkoosi, VPN-lähtöön tai odotettuun hyppäysisäntään.
3. Määritä, onko tili etuoikeutettu ja hyväksyykö tämä isäntä lainkaan interaktiivisia kirjautumisia.
4. Käännä lähteeseen: kuinka monta epäonnistumista, kuinka monta onnistumista, kuinka monta kohdetta?

Tulos: päätä, onko tämä "todennäköisesti haitallista", "epäilyttävää" vai "odotettua".

30 minuutin rajoitus: estä pääsy ja rajoita leviämistä

Sisäisen hallinnan vipuvarret, jotka eivät vaadi täydellistä varmuutta:

• poista käytöstä tai nollaa epäillyt tilitiedot (erityisesti etuoikeutetut tilit),
• estää epäilyttävän lähde-IP:n reunan kohdalla (ymmärrettävä, että hyökkääjät voivat vaihtaa)
• poista RDP-pääsy tilapäisesti laajoilta ryhmiltä (vähimmäisoikeuksien täytäntöönpano),
• eristä lähde-päätepiste, jos se näyttää olevan käänteisen liikkuvuuden keskipiste.

CISA:n ohjeistus korostaa toistuvasti rajoittamalla etäpalveluja, kuten RDP ja soveltamalla vahvoja käytäntöjä tarvittaessa, koska altistettu tai heikosti hallittu etäyhteys on yleinen pääsyreitti.

60 minuutin metsästyslaajennus: jäljitä sivuttaisliikettä ja valmistelua

Oletetaan nyt, että hyökkääjä yrittää lavastaa.

• Etsi lisäonnistuneita kirjautumisia samalle tilille muilla isännillä.
• Etsi nopeita käyttöoikeuden muutoksia, uuden ylläpitäjän luomista ja tehtävän/palvelun luomista ensimmäisellä kohdepalvelimella.
• Tarkista tiedostopalvelimet ja virtualisointipalvelimet epätavallisista kirjautumisista (nämä ovat ransomware "vaikutuskerroin").
• Varmista varmuuskopiot ja palautusvalmius, mutta älä aloita palautuksia ennen kuin olet varma, että vaiheistus on lopetettu.

Missä TSplus Advanced Security sopii?

Puolustuksen ensisijaiset hallintakeinot RDP:stä johtuvan kiristysohjelmariskin vähentämiseksi

RDP:lle ja sovelluspalvelimille tehty

Havaitseminen on kriittistä, mutta Remote Desktop Protocol -kiristysohjelmat onnistuvat usein, koska hyökkääjät voivat yrittää käyttäjätunnuksia toistuvasti, kunnes jokin toimii, ja sitten jatkaa liikkumista, kun he pääsevät sisään. TSplus Advanced Security on a puolustus-ensimmäinen kerros suunniteltu vähentämään tätä todennäköisyyttä aktiivisesti rajoittamalla ja häiritsemällä yleisiä RDP-hyökkäysreittejä, jotka edeltävät ransomwarea.

TSplus-ohjelmistopaketti - sisäänrakennettu täydentävyys

Sen täydentävyyden vuoksi TSplus Remote Accessin hienojakoisten käyttäjä- ja ryhmärajoitusten ja -asetusten kanssa se tarjoaa vahvoja puolustuksia yrityksesi sovelluspalvelimien hyökkäysyrityksiä vastaan.

Kaikkien kattava turvallisuus, joka ei jätä aukkoja

Käytännössä todennuspinon pienentäminen ja automatisoitujen käyttöoikeus väärinkäytön mallien katkaiseminen ovat avainasemassa. Rajoittamalla sitä, kuka voi yhdistää, mistä ja millä ehdoilla, sekä oppimalla standardikäyttäytymistä ja soveltamalla suojaavia toimenpiteitä bruteforce- ja spray-hyökkäysten tehokkuuden vähentämiseksi, Advanced Security tarjoaa vahvoja esteitä. Tämä täydentää standardia RDP-hygieniaa ilman, että se korvataan, ja se ostaa aikaa estämällä yhden onnekkaan käyttöoikeuden muuttumisen interaktiiviseksi jalansijaksi.

Havaitsemisen insinöörin kerroin: parempi signaali, nopeampi vaste

Puolustuksen ensisijaiset kontrollit parantavat myös tunnistuksen laatua. Kun internet-tason bruteforce-melu vähenee, peruslinjat vakautuvat nopeammin ja kynnysarvot voivat olla tiukempia. Hälytyksistä tulee toimivampia, koska vähemmän tapahtumia aiheuttaa taustasäteilyä.

Onnettomuustilanteessa nopeus on tärkeää kaikilla tasoilla. Politiikkaan perustuvat rajoitukset muuttuvat välittömiksi reagointivälineiksi: estä epäilyttävät lähteet, karanteeniin vaikuttavat alueet, tiukenna sallittuja pääsykaavoja, vähennä valtuuksia ja rajoita sivuttaisen liikkumisen mahdollisuuksia tutkimuksen edetessä.

Toiminnallinen työnkulku: sisältövivut kartoitettu hälytyksiisi

Käytä TSplus Advanced Security nopeina kytkininä, jotka liittyvät tämän oppaan havaintoihin:

• Jos suihke/voimakkaan hyökkäyksen malli nousee, tiukennetaan pääsääntöjä ja nostetaan automaattista estämistä toistuvien yritysten pysäyttämiseksi.
• Jos ensimmäinen etuoikeutettu RDP-kirjautuminen ilmestyy uudesta lähteestä, rajoita etuoikeutettuja pääsyreittejä tunnetuista ylläpito-lähteistä, kunnes se on vahvistettu.
• Jos fan-out-liikettä havaitaan, rajoita sallittuja yhteyksiä leviämisen vähentämiseksi samalla eristäen käännepiste.

Tämä lähestymistapa keskittyy ensin havaitsemiseen, mutta sen ympärillä on todellista suojausvoimaa, jotta hyökkääjä ei voi jatkaa yrityksiään samalla kun tutkit asiaa.

Johtopäätös Ransomware-havaitsemissuunnittelusta

RDP-ransomware harvoin saapuu ilman varoitusta. Käyttötunnusten väärinkäyttö, epätavalliset kirjautumismallit ja nopeat kirjautumisen jälkeiset muutokset ovat usein näkyvissä hyvin ennen salauksen alkamista. Vakiinnuttamalla normaalin RDP-toiminnan ja hälyttämällä pienestä joukosta korkeasignaalisia käyttäytymismalleja IT-tiimit voivat siirtyä reaktiivisesta puhdistuksesta varhainen rajoittaminen .

Yhdistämällä nämä havainnot puolustuksen ensisijaisiin toimiin, kuten pääsyreittien rajoittamiseen ja bruteforce-yritysten keskeyttämiseen TSplus Advanced Securityn avulla, vähennetään hyökkääjän oleskeluaikaa ja ostetaan ne minuutit, jotka ovat tärkeitä ransomware-vaikutusten estämisessä.