RDP által vezérelt behatolásokkal szembeni észlelési mérnökség Ransomware:

Miért egy RDP Ransomware Magas jelzésű észlelési útmutató?

A Távoli Asztali Protokoll (RDP) zsarolóvírus-esetek gyakran ugyanúgy kezdődnek: hitelesítési adatokkal való visszaélés, sikeres interaktív bejelentkezés és csendes oldalirányú mozgás az titkosítás előtt. Sok csapat már ismeri az alapokat a RDP megerősítése de a zsarolóvírus-üzemeltetők még mindig átcsúsznak, amikor a megfigyelés túl zajos vagy a triázs túl lassú.

Ez a útmutató az RDP-vezérelt behatolások észlelésének mérnöki aspektusaira összpontosít: a minimum telemetria összegyűjtése, hogyan lehet alapot képezni a szokásokhoz, hat magas jelzésű riasztási minta meghatározása és egy gyakorlati triázs munkafolyamat megtervezése, hogy cselekedhessünk az titkosítás előtt.

RDP Ransomware: Miért fontos a felismerés?

A valójában megfigyelhető RDP-ransomware lánc

Az RDP nem "a kihasználás" a legtöbb Remote Desktop Protocol zsarolóvírus történetben. Az RDP az az interaktív csatorna, amelyet a támadók használnak, miután megszerezték a hitelesítő adatokat, majd ugyanazt a csatornát használják a rendszerek közötti mozgáshoz. CISA figyelmeztetések a zsarolóvírus csoportokról többször dokumentálja a kompromittált hitelesítő adatok és az RDP használatát a környezeteken belüli mozgás során.

A jó hír az, hogy ez a munkafolyamat nyomokat hagy, amelyek a legtöbb Windows környezetben megfigyelhetők, még fejlett eszközök nélkül is:

• hitelesítési hibák és sikerek,
• RDP-vel összhangban lévő bejelentkezési típusminták,
• hirtelen jogosultságváltozások új bejelentkezés után
• oldalirányú mozgás (más néven fan-out) viselkedés,
• ütemezett feladatok és szolgáltatások, mint például a tartós tevékenységek.

Milyen a gyakorlatban a titkosítás előtti észlelés?

A titkosítás előtti észlelés nem jelenti azt, hogy minden vizsgálatot vagy minden sikertelen jelszópróbálkozást elkapunk. Azt jelenti, hogy megbízhatóan észleljük a lényeges átmeneti pontokat:

1. “ a támadók megpróbálják a hitelesítő adatokat ”,
2. “támadók bejutottak”
3. A támadók terjeszkednek.
4. “a támadók készülnek a telepítésre.”

Ezért a CISA ransomware irányelvei is hangsúlyozzák a kockázatos távoli szolgáltatások, például az RDP korlátozását, és a legjobb gyakorlatok alkalmazását, ha az RDP szükséges. A detektálás és a válaszadás a legjobb gyakorlatok valóságának része olyan környezetekben, amelyek nem képesek azonnal áttervezni magukat.

Mi minősül a minimálisan életképes telemetriának az RDP-vezérelt behatolásérzékeléshez?

Windows Security naplók gyűjtése

Eseménynaplózás - sikeres és sikertelen bejelentkezések:

Ha csak egy dolgot teszel, gyűjtsd össze és centralizáld a Windows Security eseményeket a bejelentkezésekhez:

• Eseményazonosító 4624: sikeres bejelentkezés
• Event ID 4625: sikertelen bejelentkezés

Az RDP interaktív ülések jellemzően „távoli interaktív” bejelentkezésként jelennek meg (sok környezetben általában 10-es bejelentkezési típus), és kapcsolódó tevékenységeket is láthat, amikor a Hálózati Szintű Hitelesítés (NLA) engedélyezve van, mert a hitelesítés korábban történik, és eltérően lehet naplózva a végpont és a tartományvezérlő esetében.

NB: Fontos! Ha üres helyeket lát, ellenőrizze a hitelesítési érvényesítéssel kapcsolatos tartományvezérlő eseményeket is.

Mit kell rögzíteni minden eseményből a detektálási mérnökséghez:

• célhost (rendelkezésre álló)
• fiók neve és domain
• forrás IP / munkaállomás neve (ha van)
• bejelentkezési típus,
• hitelesítési csomag / folyamat (ha van)
• hibás okkódok (a 4625-höz).

RDS és TerminalServices naplók, amelyek kontextust adnak.

A biztonsági naplók megmondják, hogy „ki jelentkezett be és honnan”. Az RDS és a Terminal Services naplók segítenek megmondani, hogy „hogyan viselkedett a munkamenet”, különösen a Remote Desktop Services környezetekben, ahol munkamenet gazdák vannak.

A következő naplók gyűjtése gyorsabbá teszi a triázst, amikor több munkamenet érintett:

• kapcsolódási/leválasztási események,
• session újracsatlakozási minták,
• szokatlan hosztokon a munkamenet létrehozásának csúcsai.

Ha a környezete tiszta „admin RDP a szerverbe”, ezek a naplók opcionálisak. Ha RDS farmokat üzemeltet, akkor megérik.

Központosítás és megőrzés: mit jelent az „elég”?

A központosítás nélküli észlelés „távoli dobozba helyezés és remélni, hogy a naplók még mindig ott vannak” lesz. Központosítsa a naplókat egy SIEM vagy naplóplatformra, és tartson elegendő megőrzést a lassú behatolások észleléséhez.

A ransomware nyomozások gyakorlati minimuma hetekben mérhető, nem napokban, mert az hozzáférési brókerek sokkal korábban létrehozhatják a hozzáférést, mint ahogy a titkosítás megtörténik. Ha nem tud mindent megőrizni, legalább az autentikációt, a jogosultságváltozásokat, a feladat/szolgáltatás létrehozását és az végpontvédelmi eseményeket őrizze meg.

Hogyan állíthatja be a normál RDP-t, hogy az értesítések magas jelzéssé váljanak?

Felhasználó, forrás, gazda, idő és eredmény alapján

Most az RDP figyelmeztetések azért nem működnek, mert nem történt alapozás. Az RDP a valós életben mintákkal rendelkezik, mint például:

• speciális adminisztrátori fiókok speciális ugró hosztokat használnak,
• bejelentkezések karbantartási időszakok alatt történnek,
• bizonyos szerverek soha nem fogadhatnak interaktív bejelentkezéseket,
• bizonyos felhasználóknak soha nem szabad hitelesíteniük magukat a szervereken.

Ezeket a dimenziókat alapként:

• felhasználó → tipikus gazdagépek,
• felhasználó → tipikus forrás IP-címek / alhálózatok,
• felhasználó → tipikus bejelentkezési idők,
• host → tipikus RDP felhasználók,
• a gazda → a tipikus hitelesítési sikerességi arány.

Ezután építsen figyelmeztetéseket, amelyek a modelltől való eltérésekre aktiválódnak, nem csupán a nyers mennyiség alapján.

Válaszd szét az admin RDP-t a felhasználói RDS munkamenetektől, hogy csökkentsd a zajt.

Ha RDS-t futtatsz végfelhasználók számára, ne keverd a "felhasználói munkamenet zajt" az "adminisztrátori útvonal kockázattal". Hozz létre különböző alapvonalakat és észleléseket a következők számára:

• végfelhasználói munkamenetek a munkamenetgazdákhoz (várható),
• admin sessionök az infrastruktúra szerverekhez (nagyobb kockázat),
• admin sessionök a tartományvezérlőkhez (legmagasabb kockázat, gyakran „soha” kellene, hogy legyen).

Ez a szétválasztás az egyik leggyorsabb módja annak, hogy az értesítések értelmesek legyenek anélkül, hogy új eszközöket kellene hozzáadni.

Magas jelzésű észlelési jelölők a ransomware előfutárainak elkapására

A cél itt nem a több észlelés. Hanem a kevesebb észlelés világosabb esemény-értékeléssel.

Minden észlelésnél kezdje a „Csak biztonsági naplók” kifejezéssel, majd gazdagítsa, ha van EDR/Sysmon.

Jelszópermetezés vs bruteforce: mintázat-alapú észlelés

Jelzés:

Sok sikertelen bejelentkezés, amely eloszlik a fiókok között (spray) vagy egy fiókra összpontosul (brute force).

Javasolt logika:

• Permetezés: ">X hibák egy forrástól >Y különböző felhasználónévhez Z perc alatt."
• Brute force : „>X hibák egy felhasználónévhez egy forrásból Z perc alatt.”

Hangolás:

• zárja ki a jól ismert ugró hosztokat és a VPN kimeneteket, ahonnan sok jogos felhasználó származik,
• a küszöbértékek beállítása a nap időpontja szerint (a munkaidőn kívüli hibák fontosabbak)
• szolgáltatási fiókok hangolása, amelyek jogosan hibáznak (de ellenőrizze azt is, hogy miért).

Triage következő lépései:

• ellenőrizze a forrás IP hírnevét és hogy az a környezetéhez tartozik-e,
• ellenőrizze, hogy van-e bármilyen sikeres bejelentkezés ugyanarról a forrásról röviddel ezután,
• ha a tartományhoz csatlakozott, ellenőrizze a tartományvezérlő érvényesítési hibáit is.

Ransomware jelentősége:

A jelszópermetezés egy gyakori „kezdeti hozzáférési bróker” technika, amely megelőzi a billentyűzeten végzett tevékenységet.

Első alkalommal kiváltságos RDP bejelentkezés egy új forrásból

Jelzés:

Egy privilegizált fiók (Domain Admins, szerveradminok, helyi admin megfelelőik) sikeresen bejelentkezik RDP-n keresztül egy olyan forrásból, amelyet korábban még nem láttak.

Javasolt logika:

• “Sikeres bejelentkezés a privilegizált fiókhoz, ahol a forrás IP/munkagép nem szerepel az alapvonal történetében az utolsó N napban.”

Hangolás:

• tartsd fenn az engedélyezett admin munkaállomások / ugró hosztok engedélyezési listáját,
• a "legelőször látott" eseményeket a normál változtatási időszakokban másként kell kezelni, mint 02:00-kor.

Triage következő lépései:

• érvényesítse a forrás végpontot: vállalati kezelés alatt áll, frissített és elvárt?
• ellenőrizze, hogy a fióknak voltak-e közelmúltbeli jelszó-visszaállításai vagy zárolásai,
• keressen privilégiumváltozásokat, feladatkészítést vagy szolgáltatás létrehozását 15–30 percen belül a bejelentkezés után.

Ransomware jelentősége:

A zsarolóvírus üzemeltetők gyakran gyorsan keresnek privilegizált hozzáférést, hogy letiltsák a védelmet és széles körben elindítsák a titkosítást.

RDP fan-out: egy forrás hitelesítése sok gazdagéphez

Jelzés:

Egyetlen munkaállomás vagy IP sikeresen hitelesít több szerverhez egy rövid időablakon belül.

Javasolt logika:

• „Egy forrás, amely sikeres bejelentkezéseket végzett >N különböző célhostra M perc alatt.”

Hangolás:

• zárja ki a jól ismert menedzsment eszközöket és ugró szervereket, amelyek jogszerűen érintik a sok gazdagépet,
• külön küszöbértékek létrehozása az adminisztrátori fiókok és a nem adminisztrátori fiókok számára,
• szigorítsa a küszöbértékeket munkaidőn kívül.

Triage következő lépései:

• azonosítsa a „pivot hosztot” (a forrást),
• ellenőrizze, hogy a fióknak várhatóan kezelnie kell-e azokat a célállomásokat,
• keresse a hitelesítő adatok gyűjtésének vagy a távoli eszközök végrehajtásának jeleit a forrás végponton.

Ransomware jelentősége:

A laterális mozgás az, ahogyan az „egy kompromittált bejelentkezés” „domain-szintű titkosítássá” válik.

RDP siker, amelyet jogosultságváltozás vagy új adminisztrátor követett

Jelzés:

Röviddel a sikeres bejelentkezés után ugyanaz a gazdagép felhasználói vagy csoportváltozásokat mutat, amelyek összhangban állnak a jogosultságok emelkedésével (új helyi adminisztrátor, csoporttagságok hozzáadása).

Javasolt logika:

• “Sikeres bejelentkezés → N percen belül: új admin csoporttagság vagy új helyi felhasználó létrehozása.”

Hangolás:

• engedélyezze a jól ismert ellátási időszakokat, de kérjen változtatási jegyeket a kivételekhez
• figyeljen különösen arra, amikor a változtatás végrehajtásra kerül ritkán adminisztrátori feladatokat végző felhasználó .

Triage következő lépései:

• érvényesítse a változtatás célját (melyik fiók kapott admin jogosultságot),
• ellenőrizze, hogy az új fiók azonnal használatban van-e további bejelentkezésekhez,
• ellenőrizze, hogy a színész ezután végrehajtotta-e a fan-out mozgást.

Ransomware jelentősége:

A jogosultságváltozások gyakori előzményei a védelem leállításának és a tömeges telepítésnek.

RDP siker, amelyet ütemezett feladat vagy szolgáltatás létrehozása követ.

Jelzés:

Egy interaktív ülést tartós vagy telepítési mechanizmusok követnek, mint például ütemezett feladatok vagy új szolgáltatások.

Javasolt logika:

• “Sikeres bejelentkezés → N percen belül: ütemezett feladat létrehozva vagy szolgáltatás telepítve/létrehozva.”

Hangolás:

• zárja ki a jól ismert szoftvertelepítési eszközöket,
• korreláljon a bejelentkezési fiókkal és a gazda szerepével (a tartományvezérlőknek és a fájlszervereknek rendkívül érzékenynek kell lenniük).

Triage következő lépései:

• azonosítsa a parancssort és a bináris elérési utat (az EDR segít itt),
• ellenőrizze, hogy a feladat/szolgáltatás több végpontot céloz-e,
• karanténba helyezni a gyanús bináris fájlokat, mielőtt elterjednének.

Ransomware jelentősége:

A ütemezett feladatok és szolgáltatások gyakori módjai a payloadok előkészítésének és a titkosítás nagyszabású végrehajtásának.

A védelem csökkentésének jelei hamarosan az RDP után (ha elérhető)

Jelzés:

Az Endpoint védelem le van tiltva, a manipulációs védelmek aktiválódnak, vagy a biztonsági eszközök hamarosan leállnak egy új távoli bejelentkezés után.

Javasolt logika:

• “RDP bejelentkezés admin által → N percen belül: a biztonsági termék letiltása vagy manipulálás figyelmeztetés.”

Hangolás:

• bármilyen hiba a szervereken magasabb súlyosságúnak számít, mint a munkaállomásokon,
• ellenőrizze, hogy a karbantartási időszakok indokolják-e a jogos eszközváltoztatásokat.

Triage következő lépései:

• izoláld a gazdagépet, ha ezt biztonságosan meg tudod tenni,
• fiók munkamenet letiltása és forgassa a hitelesítő adatokat,
• más fiók keresése más hosztokon.

Ransomware jelentősége:

A védelem csökkentése erős jelzője a billentyűzeten dolgozó operátor tevékenységének, nem véletlenszerű szkennelésnek.

RDP Előfutár Figyelmeztetés Esetén Használható Példa Triázási Ellenőrzőlista

Ez a sebességre lett tervezve. Ne próbálj meg biztosnak lenni cselekvés előtt. Tegyél lépéseket a robbanási sugár csökkentésére, miközben nyomozol.

10 perces triázs: megerősítés és a terjedelem azonosítása

1. Ellenőrizze, hogy az értesítés valós-e : azonosítsa a felhasználót, a forrást, a célt, az időt és a bejelentkezési típust (4624/4625 adatok).
2. Ellenőrizze, hogy a forrás a hálózatához, a VPN kimenetéhez vagy egy várt ugróhoszthoz tartozik-e.
3. Határozza meg, hogy a fiók privilégiumokkal rendelkezik-e, és hogy ez a gazdagép egyáltalán elfogadja-e az interaktív bejelentkezéseket.
4. A forráson alapuló pivot: hány hiba, hány siker, hány célállomás?

Eredmény: döntsön arról, hogy ez "valószínűleg rosszindulatú", "gyanús" vagy "várt".

30 perces korlátozás: hozzáférés leállítása és terjedés korlátozása

Olyan korlátozó eszközök, amelyek nem igényelnek teljes bizonyosságot:

• tiltsa le vagy állítsa vissza a gyanús fiók hitelesítő adatait (különösen a jogosultságokkal rendelkező fiókok esetében),
• blokkolja a gyanús forrást IP a peremén (megértve, hogy a támadók forgathatják),
• ideiglenesen eltávolítani az RDP-hozzáférést a széles csoportoktól (a legkisebb jogosultság érvényesítése),
• izolálja a forrás végpontot, ha úgy tűnik, hogy az a középpont a szétszóródás mozgásához.

A CISA iránymutatása többször is hangsúlyozza a távoli szolgáltatások, mint például az RDP korlátozása és erős gyakorlatok alkalmazása, amikor szükséges, mivel a kitettségnek vagy gyengén ellenőrzött távoli hozzáférésnek gyakori belépési útvonala van.

60 perces vadászat kiterjesztés: nyomozza a laterális mozgást és a színpadra állítást

Most feltételezzük, hogy a támadó próbálkozik a színpadra állítással.

• Keresés további sikeres bejelentkezések után ugyanahhoz a fiókhoz más hosztokon.
• Figyelje a gyors jogosultságváltozásokat, új admin létrehozását és feladat/szolgáltatás létrehozását az első célhoston.
• Ellenőrizze a fájlszervereket és a virtualizációs hosztokat a rendellenes bejelentkezésekért (ezek a ransomware „hatásfokozók”).
• Ellenőrizze a biztonsági másolatokat és a helyreállítási készséget, de ne indítson helyreállítást, amíg nem biztos abban, hogy a színpad leállt.

Hol illeszkedik a TSplus Advanced Security?

Védelem-első vezérlők az RDP-vel vezetett zsarolóprogramok valószínűségének csökkentésére

RDP és alkalmazásszerverek számára készült

A detektálás kritikus fontosságú, de a Remote Desktop Protocol zsarolóvírusai gyakran sikeresek, mert a támadók folyamatosan próbálkozhatnak a hitelesítő adatokkal, amíg valami működik, majd továbbhaladnak, miután bejutottak. A TSplus Advanced Security egy védelmi első réteg tervezve van, hogy csökkentse ennek a valószínűségét azáltal, hogy aktívan korlátozza és megzavarja a ransomware-t megelőző általános RDP támadási utakat.

TSplus szoftvercsomag - beépített kiegészítő funkció

A TSplus Remote Access granular felhasználói és csoportkorlátozásainak és beállításainak kiegészítő jellegének köszönhetően szilárd védelmet nyújt az alkalmazás szerverei ellen irányuló támadási kísérletekkel szemben.

Mindenre kiterjedő biztonság, hogy ne maradjanak rések

Gyakorlatilag a hitelesítési felület csökkentése és az automatizált hitelesítő adatokkal való visszaélési minták megtörése kulcsfontosságú. Azáltal, hogy részt veszünk annak korlátozásában, hogy ki csatlakozhat, honnan és milyen feltételek mellett, valamint a szokásos viselkedések megtanulásával és védelmi intézkedések alkalmazásával a brute-force és spray hatékonyságának csökkentésére, az Advanced Security szilárd akadályokat biztosít. Ez kiegészíti a szokásos RDP higiéniát anélkül, hogy azt helyettesítené, és időt nyer azzal, hogy megakadályozza, hogy egy szerencsés hitelesítő adat interaktív lábnyommá váljon.

Észlelési mérnöki szorzó: jobb jel, gyorsabb válasz

A védelem-első vezérlők szintén javítják a detektálás minőségét. Amikor az internetes méretű brute force zaj csökken, az alapvonalak gyorsabban stabilizálódnak, és a küszöbértékek szorosabbak lehetnek. Az értesítések cselekvésre ösztönzőbbé válnak, mivel kevesebb esemény okoz háttérsugárzást.

Egy incidens során a sebesség minden szinten számít. A politikai alapú korlátozások azonnali válaszlehetőségekké válnak: blokkolni a gyanús forrásokat, karanténba helyezni az érintett területeket, szigorítani a megengedett hozzáférési mintákat, csökkenteni az engedélyeket és korlátozni a vízszintes mozgás lehetőségét, miközben a nyomozás folyik.

Működési munkafolyamat: a riasztásaidhoz hozzárendelt korlátozási eszközök

Használat TSplus Advanced Security mint "gyors kapcsolók", amelyek a jelen útmutatóban található észlelésekhez kapcsolódnak:

• Ha egy spray/brute-force minta megugrik, szigorítsa az hozzáférési szabályokat, és emelje meg az automatikus blokkolást a megismételt kísérletek megállításához.
• Ha egy első alkalommal jogosultsággal rendelkező RDP bejelentkezés új forrásból jelenik meg, korlátozza a jogosultsággal rendelkező hozzáférési útvonalakat a jól ismert admin forrásokra, amíg azokat nem ellenőrzik.
• Ha a fan-out mozgást észlelnek, korlátozza a megengedett kapcsolatokat a terjedés csökkentése érdekében, miközben elszigeteli a pivot végpontot.

Ez a megközelítés a detektálásra összpontosít, de valódi védelemre épülő erővel rendelkezik, így a támadó nem tud folyamatosan próbálkozni, miközben Ön nyomoz.

A zsarolóvírus-észlelési tervezés következtetése

A távoli asztali protokoll ransomware ritkán érkezik figyelmeztetés nélkül. A hitelesítő adatok visszaélése, a szokatlan bejelentkezési minták és a gyors bejelentkezés utáni változások gyakran jól láthatóak még azelőtt, hogy a titkosítás megkezdődne. A normál RDP tevékenység alapjainak megállapításával és egy kis számú magas jelzésű viselkedésre való figyelmeztetéssel az IT csapatok át tudnak térni a reaktív takarításról a korai korlátozás .

A detektálások párosítása a védelemre összpontosító intézkedésekkel, mint például a hozzáférési utak korlátozása és a bruteforce kísérletek megzavarása a TSplus Advanced Security segítségével, csökkenti a támadók tartózkodási idejét, és megvásárolja azokat a perceket, amelyek fontosak a ransomware hatásának megelőzésében.