원격 데스크톱 프로토콜 랜섬웨어: RDP 주도의 침입에 대한 탐지 엔지니어링

원격 데스크톱 프로토콜 랜섬웨어 고신호 탐지 가이드의 이유는 무엇인가요?

원격 데스크톱 프로토콜(RDP) 랜섬웨어 사건은 종종 같은 방식으로 시작됩니다: 자격 증명 남용, 성공적인 대화형 로그온 및 암호화 이전의 조용한 수평 이동. 많은 팀은 이미 기본 사항을 알고 있습니다. RDP 강화 하지만 랜섬웨어 운영자들은 모니터링이 너무 시끄럽거나 분류가 너무 느릴 때 여전히 빠져나갑니다.

이 가이드는 RDP 주도의 침입에 대한 탐지 엔지니어링에 중점을 두고 있습니다: 수집해야 할 최소 텔레메트리, 습관의 기준선 설정 방법, 여섯 가지 고신호 경고 패턴을 정확히 파악하고 암호화 전에 조치를 취하기 위한 실용적인 분류 작업 흐름을 계획하는 방법.

RDP 랜섬웨어: 탐지가 중요한 이유는 무엇인가?

실제로 관찰할 수 있는 RDP-대-랜섬웨어 체인

RDP는 대부분의 원격 데스크톱 프로토콜 랜섬웨어 이야기에서 "악용"이 아닙니다. RDP는 공격자가 자격 증명을 얻은 후 사용하는 대화형 채널이며, 그 후 동일한 채널을 재사용하여 시스템 간에 이동합니다. CISA의 랜섬웨어 그룹에 대한 권고사항 손상된 자격 증명과 RDP의 사용을 반복적으로 문서화하여 환경 내에서의 이동을 기록합니다.

좋은 소식은 이 워크플로우가 고급 도구 없이도 대부분의 Windows 환경에서 관찰할 수 있는 흔적을 남긴다는 것입니다.

• 인증 실패 및 성공
• RDP와 일치하는 로그온 유형 패턴,
• 새로운 로그온 후 갑작스러운 권한 변경,
• 측면 이동(즉, 팬 아웃) 동작,
• 지속성 작업, 예를 들어 예약된 작업 및 서비스.

사전 암호화 탐지는 실제로 어떻게 보이나요?

사전 암호화 탐지는 모든 스캔이나 모든 실패한 비밀번호 시도를 포착하는 것을 의미하지 않습니다. 중요한 전환점을 신뢰성 있게 포착하는 것을 의미합니다.

1. “ 공격자들이 자격 증명을 시도하고 있습니다. ”,
2. “공격자가 침입했다”
3. 공격자들이 범위를 확장하고 있습니다.
4. 공격자들이 배포할 준비를 하고 있습니다.

그것이 바로 CISA의 랜섬웨어 지침이 RDP와 같은 위험한 원격 서비스를 제한하고 RDP가 필요한 경우 최선의 관행을 적용하는 것을 강조하는 이유입니다. 탐지 및 대응은 하룻밤 사이에 재설계할 수 없는 환경에서 최선의 관행 현실의 일부입니다.

RDP 기반 침입 탐지를 위한 최소 실행 가능 원격 측정은 무엇인가요?

Windows 보안 로그 수집

이벤트 로깅 - 성공적인 및 실패한 로그온:

Windows 보안 이벤트를 수집하고 중앙 집중화하여 로그온을 관리하십시오.

• 이벤트 ID 4624: 성공적인 로그인
• 이벤트 ID 4625: 로그인 실패

RDP 대화형 세션은 일반적으로 "원격 대화형" 로그온으로 표시되며(많은 환경에서 일반적으로 로그온 유형 10), 네트워크 수준 인증(NLA)이 활성화되면 관련 활동도 볼 수 있습니다. 인증이 더 일찍 발생하고 엔드포인트 및 도메인 컨트롤러에서 다르게 기록될 수 있기 때문입니다.

[NB:] 주의: 자격 증명 검증과 관련된 도메인 컨트롤러 이벤트를 확인하세요. 그렇지 않으면 간격이 발생할 수 있습니다.

각 이벤트에서 탐지 엔지니어링을 위해 캡처해야 할 사항:

• 대상 호스트(목적지),
• 계정 이름 및 도메인,
• 소스 IP / 워크스테이션 이름 (존재하는 경우)
• 로그온 유형,
• 인증 패키지 / 프로세스 (존재하는 경우)
• 실패 원인 코드 (4625용).

RDS 및 TerminalServices 로그는 맥락을 추가합니다.

보안 로그는 “누가 로그인했는지와 어디서 로그인했는지”를 알려줍니다. RDS 및 TerminalServices 로그는 “세션이 어떻게 동작했는지”를 알려주는 데 도움을 주며, 특히 세션 호스트가 있는 원격 데스크톱 서비스 환경에서 그렇습니다.

다음 로그를 수집하면 여러 세션이 관련된 경우 신속한 분류가 가능합니다:

• 연결/연결 해제 이벤트,
• 세션 재연결 패턴,
• 비정상적인 호스트에서 세션 생성의 급증.

귀하의 환경이 순수한 "관리자 RDP로 서버에 접속"인 경우, 이러한 로그는 선택 사항입니다. RDS 팜을 운영하는 경우, 이 로그는 가치가 있습니다.

중앙 집중화 및 보존: "충분한" 것이 어떤 모습인지

중앙 집중화 없는 탐지는 “원격으로 상자에 넣고 로그가 여전히 거기에 있기를 바란다”로 변합니다. 로그를 SIEM 또는 로그 플랫폼에 중앙 집중화하고 느린 침입을 확인할 수 있도록 충분한 보존 기간을 유지하십시오.

랜섬웨어 조사를 위한 실질적인 최소 기간은 며칠이 아니라 주 단위로 측정됩니다. 이는 액세스 브로커가 암호화되기 훨씬 이전에 액세스를 설정할 수 있기 때문입니다. 모든 것을 보존할 수 없다면, 최소한 인증, 권한 변경, 작업/서비스 생성 및 엔드포인트 보호 이벤트는 보존해야 합니다.

정상 RDP를 기준으로 삼아 경고가 높은 신호가 되도록 하려면 어떻게 해야 합니까?

사용자, 출처, 호스트, 시간 및 결과에 따른 기준

대부분의 RDP 경고는 기준선 설정이 없기 때문에 실패합니다. 실제 RDP에는 다음과 같은 패턴이 있습니다:

• 특정 관리 계정은 특정 점프 호스트를 사용합니다.
• 유지 관리 시간 동안 로그온이 발생합니다.
• 특정 서버는 절대 대화형 로그온을 허용해서는 안 됩니다.
• 특정 사용자는 절대 서버에 인증하지 않아야 합니다.

이 차원들을 기준으로 삼으세요:

• 사용자 → 일반 호스트,
• 사용자 → 일반 소스 IP / 서브넷,
• 사용자 → 일반 로그인 시간,
• 호스트 → 일반 RDP 사용자,
• 호스트 → 전형적인 인증 성공률.

그런 다음 원시 볼륨만이 아닌 해당 모델에서 벗어난 경우에 경고가 발생하도록 설정하십시오.

관리자 RDP를 사용자 RDS 세션과 분리하여 소음을 줄입니다.

RDS를 최종 사용자에게 실행하는 경우 "사용자 세션 소음"과 "관리자 경로 위험"을 혼합하지 마십시오. 별도의 기준선 및 탐지를 생성하십시오:

• 최종 사용자 세션을 세션 호스트로 (예상됨),
• 인프라 서버에 대한 관리자 세션(더 높은 위험)
• 도메인 컨트롤러에 대한 관리자 세션(가장 높은 위험, 종종 "절대 안 함"이어야 함).

이 분리는 새로운 도구를 추가하지 않고 경고를 의미 있게 만드는 가장 빠른 방법 중 하나입니다.

랜섬웨어 전조를 포착하기 위한 고신호 탐지 마커

여기서 목표는 더 많은 탐지가 아니라 더 명확한 이벤트 분류로 더 적은 탐지를 하는 것입니다.

각 감지에 대해 "보안 로그만"으로 시작한 다음 EDR/Sysmon이 있는 경우 보강하십시오.

비밀번호 스프레이 공격 대 무차별 대입 공격: 패턴 기반 탐지

신호:

많은 실패한 로그온이 계정에 분산되어 있거나(스프레이) 하나의 계정에 집중되어 있습니다(브루트 포스).

제안된 논리:

• 스프레이: “>X 실패가 하나의 출처에서 >Y 개의 고유 사용자 이름으로 Z 분 이내에 발생했습니다.”
• 무차별 대입 공격 : “Z분 동안 하나의 출처에서 하나의 사용자 이름에 대한 >X 실패.”

조정:

• 합법적인 사용자가 많이 발생하는 알려진 점프 호스트 및 VPN 출구를 제외하십시오.
• 시간대별로 임계값 조정 (근무 시간 외의 실패가 더 중요함),
• 서비스 계정이 정당하게 실패하는 경우(하지만 이유도 확인하십시오)를 조정합니다.

다음 단계 분류:

• 소스 IP 평판을 확인하고 해당 IP가 귀하의 환경에 속하는지 여부를 확인하십시오.
• 같은 출처에 대해 짧은 시간 내에 성공적인 로그온이 있는지 확인하십시오.
• 도메인에 가입된 경우 도메인 컨트롤러 검증 실패도 확인하십시오.

랜섬웨어 관련성:

비밀번호 스프레이 공격은 키보드 작업 이전에 발생하는 일반적인 "초기 접근 브로커" 기술입니다.

새로운 출처에서의 첫 번째 특권 RDP 로그인

신호:

특권 계정(도메인 관리자, 서버 관리자, 로컬 관리자 동등)이 이전에 본 적이 없는 소스에서 RDP를 통해 성공적으로 로그인합니다.

제안된 논리:

• “지난 N일 동안 기준 이력에 없는 소스 IP/작업 공간에서 특권 계정의 성공적인 로그온.”

조정:

• 승인된 관리 작업 공간 / 점프 호스트의 허용 목록을 유지합니다.
• 정상 변경 시간 동안 "처음 본" 것을 02:00과 다르게 처리하십시오.

다음 단계 분류:

• 소스 엔드포인트를 검증하십시오: 기업에서 관리되고, 패치가 적용되었으며, 예상되는 것입니까?
• 계정에 최근 비밀번호 재설정이나 잠금이 있었는지 확인하십시오.
• 특권 변경, 작업 생성 또는 서비스 생성을 로그인 후 15–30분 이내에 검색하십시오.

랜섬웨어 관련성:

랜섬웨어 운영자는 종종 방어를 비활성화하고 광범위하게 암호화를 추진하기 위해 신속하게 특권 액세스를 추구합니다.

RDP 팬 아웃: 하나의 소스가 여러 호스트에 인증하는 것

신호:

단일 워크스테이션 또는 IP 여러 서버에 짧은 시간 내에 성공적으로 인증합니다.

제안된 논리:

• “하나의 출처에서 M 분 안에 >N 개의 서로 다른 목적지 호스트에 성공적인 로그온.”

조정:

• 합법적으로 많은 호스트에 접촉하는 알려진 관리 도구와 점프 서버를 제외하십시오.
• 관리자 계정과 비관리자 계정에 대한 별도의 임계값을 설정합니다.
• 근무 시간 외에 기준을 강화하십시오.

다음 단계 분류:

• “피벗 호스트”(소스)를 식별합니다.
• 계정이 해당 대상을 관리할 것으로 예상되는지 확인하십시오.
• 소스 엔드포인트에서 자격 증명 수집 또는 원격 도구 실행의 징후를 찾으십시오.

랜섬웨어 관련성:

측면 이동은 "하나의 손상된 로그인"이 "도메인 전체 암호화"가 되는 방법입니다.

RDP 성공 후 권한 변경 또는 새로운 관리자

신호:

성공적인 로그온 직후, 동일한 호스트는 권한 상승과 일치하는 사용자 또는 그룹 변경 사항(새로운 로컬 관리자, 그룹 구성원 추가)을 보여줍니다.

제안된 논리:

• “성공적인 로그인 → N분 이내: 새로운 관리자 그룹 멤버십 또는 새로운 로컬 사용자 생성.”

조정:

• 알려진 프로비저닝 창을 허용하되, 예외에 대해서는 변경 티켓을 요구합니다.
• 변경이 수행될 때 특별한 주의를 기울이십시오. 관리 작업을 거의 수행하지 않는 사용자 .

다음 단계 분류:

• 변경 대상을 확인하십시오(어떤 계정이 관리 권한을 부여받았는지).
• 새 계정이 추가 로그온에 즉시 사용되는지 확인하십시오.
• 배우가 그 후 팬 아웃 동작을 수행했는지 확인하십시오.

랜섬웨어 관련성:

권한 변경은 방어 중단 및 대규모 배포의 일반적인 전조입니다.

RDP 성공 후 예약된 작업 또는 서비스 생성

신호:

인터랙티브 세션은 예약된 작업이나 새로운 서비스와 같은 지속성 또는 배포 메커니즘에 의해 이어집니다.

제안된 논리:

• “성공적인 로그인 → N분 이내: 예약된 작업이 생성되거나 서비스가 설치/생성됨.”

조정:

• 알려진 소프트웨어 배포 도구 제외,
• 로그온 계정 및 호스트 역할과 연관시키기 (도메인 컨트롤러 및 파일 서버는 매우 민감해야 함).

다음 단계 분류:

• 명령줄 및 이진 경로 식별(EDR이 여기에서 도움을 줌)
• 작업/서비스가 여러 엔드포인트를 대상으로 하는지 확인하십시오.
• 의심스러운 이진 파일이 전파되기 전에 격리하십시오.

랜섬웨어 관련성:

예약된 작업 및 서비스는 페이로드를 준비하고 대규모로 암호화를 실행하는 일반적인 방법입니다.

RDP(사용 가능할 때) 후 곧바로 방어 손상 신호

신호:

엔드포인트 보호가 비활성화되었거나, 변조 방지 기능이 작동하거나, 보안 도구가 새로운 원격 로그온 후 곧 중지됩니다.

제안된 논리:

• “관리자에 의한 RDP 로그인 → N분 이내: 보안 제품 비활성화 이벤트 또는 변조 경고.”

조정:

• 서버의 모든 장애를 워크스테이션보다 더 높은 심각도로 간주하십시오.
• 유지 관리 창이 정당한 도구 변경을 정당화하는지 확인하십시오.

다음 단계 분류:

• 호스트를 안전하게 격리할 수 있다면 격리하십시오.
• 계정 세션 비활성화 자격 증명을 회전하고,
• 다른 호스트에서 동일한 계정을 찾습니다.

랜섬웨어 관련성:

방어 손상은 무작위 스캔이 아닌 키보드 조작자의 활동을 강하게 나타내는 지표입니다.

RDP 전조 경고가 발생할 때를 위한 예제 분류 체크리스트

이것은 속도를 위해 설계되었습니다. 행동하기 전에 확신을 가지려고 하지 마십시오. 조사하는 동안 폭발 반경을 줄이기 위한 조치를 취하십시오.

10분 분류: 범위 확인 및 식별

1. 경고가 실제인지 확인하십시오. 사용자, 출처, 목적지, 시간 및 로그온 유형(4624/4625 데이터)을 식별합니다.
2. 소스가 귀하의 네트워크, VPN 출구 또는 예상되는 점프 호스트에 속하는지 확인하십시오.
3. 계정이 특권이 있는지 여부와 이 호스트가 상호 작용 로그온을 전혀 수락해야 하는지 여부를 결정합니다.
4. 소스에 대한 피벗: 실패는 몇 건, 성공은 몇 건, 목적지는 몇 개인가?

결과: 이것이 "악의적일 가능성이 높음", "의심스러움" 또는 "예상됨"인지 결정하십시오.

30분 격리: 접근 중지 및 확산 제한

완전한 확신이 필요하지 않은 격리 수단:

• 의심되는 계정 자격 증명(특히 권한이 있는 계정)을 비활성화하거나 재설정하십시오.
• 의심스러운 소스 IP를 엣지에서 차단합니다(공격자가 회전할 수 있다는 점을 이해하고).
• 광범위한 그룹에서 RDP 액세스를 일시적으로 제거합니다(최소 권한 시행).
• 소스 엔드포인트가 팬 아웃 이동의 중심으로 보일 경우 격리하십시오.

CISA의 지침은 반복적으로 강조합니다 원격 서비스 제한하기, 예를 들어 RDP 필요할 때 강력한 관행을 적용하고, 노출되거나 약하게 제어된 원격 액세스가 일반적인 진입 경로이기 때문입니다.

60분 사냥 확장: 측면 이동 및 준비 추적

이제 공격자가 공격을 준비하고 있다고 가정해 보십시오.

• 다른 호스트에서 동일한 계정에 대한 추가 성공적인 로그온을 검색합니다.
• 빠른 권한 변경, 새로운 관리자 생성 및 첫 번째 대상 호스트에서의 작업/서비스 생성을 확인하십시오.
• 파일 서버와 가상화 호스트에서 비정상적인 로그온을 확인하십시오(이들은 랜섬웨어 "영향 배수기"입니다).
• 백업 및 복구 준비 상태를 확인하되, 스테이징이 중지되었다고 확신할 때까지 복원 작업을 시작하지 마십시오.

TSplus Advanced Security는 어디에 적합합니까?

RDP 기반 랜섬웨어 확률을 줄이기 위한 방어 우선 제어

RDP 및 애플리케이션 서버용으로 제작됨

탐지는 중요하지만, 원격 데스크톱 프로토콜 랜섬웨어는 공격자가 자격 증명을 반복적으로 시도하여 성공할 때까지 계속 시도할 수 있기 때문에 종종 성공하며, 일단 침입하면 계속해서 이동할 수 있습니다. TSplus Advanced Security는 a 방어-첫 번째 계층 랜섬웨어에 앞서 발생하는 일반적인 RDP 공격 경로를 적극적으로 제한하고 방해함으로써 그 확률을 줄이도록 설계되었습니다.

TSplus 소프트웨어 제품군 - 내장된 상호 보완성

TSplus Remote Access의 세분화된 사용자 및 그룹 제한 및 설정과의 상호 보완성 덕분에 애플리케이션 서버에 대한 공격 시도에 대한 강력한 방어를 제공합니다.

모든 방향의 보안으로 빈틈을 남기지 않기

실질적으로 인증 표면을 축소하고 자동화된 자격 증명 남용 패턴을 차단하는 것이 핵심입니다. 누가, 어디서, 어떤 조건에서 연결할 수 있는지를 제한하는 데 참여하고, 표준 행동을 학습하며, 무차별 대입 및 스프레이 효과를 줄이기 위한 보호 조치를 적용함으로써, Advanced Security는 확고한 장벽을 제공합니다. 이는 표준 RDP 위생을 대체하지 않으면서 보완하며, 하나의 운 좋은 자격 증명이 상호작용 가능한 발판이 되는 것을 방지하여 시간을 벌어줍니다.

탐지 엔지니어링 배수기: 더 나은 신호, 더 빠른 응답

방어 우선 제어는 탐지 품질도 향상시킵니다. 인터넷 규모의 무차별 대입 소음이 줄어들면 기준선이 더 빠르게 안정화되고 임계값을 더 엄격하게 설정할 수 있습니다. 경고는 더 적은 사건이 배경 방사선을 유발하므로 더 실행 가능해집니다.

사건 발생 시 모든 수준에서 속도가 중요합니다. 정책 기반 제한은 즉각적인 대응 수단이 됩니다: 의심스러운 출처를 차단하고, 영향을 받은 지역을 격리하며, 허용된 접근 패턴을 강화하고, 권한을 줄이며, 조사가 진행되는 동안 수평 이동 기회를 제한합니다.

운영 워크플로: 경고에 매핑된 격리 레버

사용하다 TSplus 고급 보안 이 가이드의 탐지와 관련된 "빠른 전환"으로:

• 스프레이/무차별 대입 패턴이 급증하면 접근 규칙을 강화하고 자동 차단을 높여 반복적인 시도를 중단하십시오.
• 새로운 출처에서 처음으로 특권 RDP 로그온이 나타나면, 확인될 때까지 특권 액세스 경로를 알려진 관리자 출처로 제한하십시오.
• 팬아웃 움직임이 감지되면, 확산을 줄이기 위해 허용된 연결을 제한하고 피벗 엔드포인트를 격리합니다.

이 접근 방식은 탐지 우선에 중점을 두지만, 공격자가 조사를 하는 동안 계속 시도할 수 없도록 실제 보호 우선의 힘을 갖추고 있습니다.

랜섬웨어 탐지 계획에 대한 결론

원격 데스크톱 프로토콜 랜섬웨어는 경고 없이 도착하는 경우가 드뭅니다. 자격 증명 남용, 비정상적인 로그인 패턴 및 로그인 후 빠른 변경 사항은 암호화가 시작되기 훨씬 전에 종종 가시화됩니다. 정상적인 RDP 활동을 기준으로 삼고 소수의 높은 신호 행동에 대해 경고함으로써 IT 팀은 반응적인 정리에서 조기 억제 .

탐지를 방어 우선 제어와 결합하여, 접근 경로를 제한하고 TSplus Advanced Security로 무차별 대입 공격을 방해함으로써 공격자의 체류 시간을 줄이고 랜섬웨어 영향을 방지하는 데 중요한 시간을 확보합니다.