Protokół Pulpitu Zdalnego Ransomware: Inżynieria Wykrywania w Obliczu Inwazji Kierowanych przez RDP

Dlaczego przewodnik po wykrywaniu ransomware o wysokim sygnale protokołu pulpitu zdalnego?

Incydenty ransomware w protokole pulpitu zdalnego (RDP) często zaczynają się w ten sam sposób: nadużycie poświadczeń, udane logowanie interaktywne i cicha lateralna ruchomość przed szyfrowaniem. Wiele zespołów już zna podstawy utwardzanie RDP ale operatorzy ransomware wciąż prześlizgują się, gdy monitorowanie jest zbyt hałaśliwe lub triage zbyt wolny.

Ten przewodnik koncentruje się na inżynierii wykrywania dla intruzji prowadzonych przez RDP: minimalna telemetria do zebrania, jak ustalić podstawowe nawyki, zidentyfikować sześć wzorców alertów o wysokim sygnale i zaplanować praktyczny proces triage, aby działać przed szyfrowaniem.

RDP Ransomware: Dlaczego wykrywanie ma znaczenie?

Łańcuch RDP do ransomware, który możesz faktycznie zaobserwować

RDP nie jest „eksploitem” w większości historii ransomware związanych z protokołem zdalnego pulpitu. RDP to interaktywny kanał, którego używają napastnicy po uzyskaniu poświadczeń, a następnie ponownie wykorzystują ten sam kanał do poruszania się między systemami. Zalecenia CISA dotyczące grup ransomware wielokrotnie dokumentować użycie skompromitowanych poświadczeń i RDP do poruszania się wewnątrz środowisk.

Dobrą wiadomością jest to, że ten proces roboczy pozostawia ślady, które są widoczne w większości środowisk Windows, nawet bez zaawansowanych narzędzi:

• niepowodzenia i sukcesy uwierzytelniania,
• wzorce typu logowania zgodne z RDP,
• nagłe zmiany uprawnień po nowym logowaniu,
• ruch boczny (znany jako fan-out) zachowanie,
• działania związane z utrzymywaniem, takie jak zadania zaplanowane i usługi.

Jak wygląda wykrywanie pre-szyfrowania w praktyce?

Wykrywanie przed szyfrowaniem nie oznacza wychwytywania każdego skanowania ani każdej nieudanej próby hasła. Oznacza to niezawodne wychwytywanie punktów przejścia, które mają znaczenie:

1. “ atakujący próbują danych uwierzytelniających ”,
2. atakujący się dostali
3. atakujący rozszerzają zasięg
4. “atakujący przygotowują się do wdrożenia”.

Dlatego również wytyczne CISA dotyczące oprogramowania ransomware podkreślają ograniczenie ryzykownych usług zdalnych, takich jak RDP, oraz stosowanie najlepszych praktyk, jeśli RDP jest konieczne. Wykrywanie i reakcja są częścią rzeczywistości najlepszych praktyk w środowiskach, które nie mogą zostać przeprojektowane z dnia na dzień.

Co stanowi minimalną wykonalną telemetrię dla wykrywania intruzji prowadzonego przez RDP?

Dzienniki zabezpieczeń systemu Windows do zebrania

Rejestrowanie zdarzeń - udane i nieudane logowania:

Jeśli zrobisz tylko jedną rzecz, zbierz i scentralizuj zdarzenia zabezpieczeń systemu Windows dotyczące logowania:

• Identyfikator zdarzenia 4624: pomyślne logowanie
• Identyfikator zdarzenia 4625: nieudana próba logowania

Sesje interaktywne RDP zazwyczaj są wyświetlane jako „interaktywne zdalne” logowania (zwykle typ logowania 10 w wielu środowiskach), a także zobaczysz powiązaną aktywność, gdy uwierzytelnianie na poziomie sieci (NLA) jest włączone, ponieważ uwierzytelnianie odbywa się wcześniej i może być rejestrowane inaczej na końcówce i kontrolerze domeny.

NB: Jeśli widzisz luki, sprawdź zdarzenia kontrolera domeny związane z walidacją poświadczeń.

Co należy zarejestrować z każdego zdarzenia do inżynierii wykrywania:

• host docelowy (przeznaczenie),
• nazwa konta i domena
• adres IP źródłowy / nazwa stacji roboczej (gdy jest obecna),
• typ logowania,
• pakiet / proces uwierzytelniania (gdy jest obecny)
• kody przyczyn niepowodzenia (dla 4625).

Dzienniki RDS i TerminalServices, które dodają kontekst

Dzienniki zabezpieczeń informują, „kto się zalogował i skąd”. Dzienniki RDS i Terminal Services pomagają określić, „jak zachowywała się sesja”, szczególnie w środowiskach Usług Pulpitu Zdalnego z hostami sesji.

Zbieranie następujących dzienników przyspiesza triage, gdy zaangażowanych jest wiele sesji:

• zdarzenia połączenia/rozłączenia,
• wzorce ponownego połączenia sesji,
• wzrosty w tworzeniu sesji na nietypowych hostach.

Jeśli Twoje środowisko to czysty „admin RDP do serwera”, te logi są opcjonalne. Jeśli uruchamiasz farmy RDS, są warte uwagi.

Centralizacja i zatrzymanie: jak wygląda „wystarczająco”

Wykrywanie bez centralizacji zamienia się w „zdalne umieszczenie w pudełku i nadzieję, że logi wciąż tam są”. Skonsoliduj logi w SIEM lub platformie logów oraz zachowaj wystarczający okres przechowywania, aby zobaczyć powolne intruzje.

Praktyczne minimum dla dochodzeń w sprawie ransomware mierzy się w tygodniach, a nie w dniach, ponieważ brokerzy dostępu mogą uzyskać dostęp na długo przed szyfrowaniem. Jeśli nie możesz zachować wszystkiego, zachowaj przynajmniej zdarzenia związane z uwierzytelnianiem, zmianami uprawnień, tworzeniem zadań/usług oraz ochroną punktów końcowych.

Jak możesz ustalić podstawowy poziom normalnego RDP, aby alerty stały się sygnałem o wysokiej wartości?

Podstawa przez użytkownika, źródło, host, czas i wynik

Większość alertów RDP nie działa, ponieważ nie przeprowadzono bazowania. RDP w rzeczywistości ma wzorce, takie jak:

• specyficzne konta administratorów używają specyficznych hostów skokowych,
• logowania występują podczas okien konserwacyjnych,
• pewne serwery nigdy nie powinny akceptować interaktywnych logowań,
• pewne osoby nigdy nie powinny się uwierzytelniać na serwerach.

Ustal te wymiary:

• użytkownik → typowe hosty,
• użytkownik → typowe adresy IP / podsieci,
• użytkownik → typowe czasy logowania,
• host → typowi użytkownicy RDP,
• wskaźnik sukcesu typowej autoryzacji.

Następnie zbuduj alerty, które uruchamiają się przy odchyleniach od tego modelu, a nie tylko na podstawie surowej objętości.

Podziel sesje RDP administratora od sesji RDS użytkowników, aby zredukować hałas.

Jeśli uruchamiasz RDS dla użytkowników końcowych, nie mieszaj „hałasu sesji użytkownika” z „ryzykiem ścieżki administratora”. Utwórz oddzielne punkty odniesienia i detekcje dla:

• sesje użytkowników końcowych do hostów sesji (oczekiwane),
• sesje administratora do serwerów infrastrukturalnych (wyższe ryzyko),
• sesje administratora do kontrolerów domeny (najwyższe ryzyko, często powinny być „nigdy”).

To separacja jest jednym z najszybszych sposobów, aby uczynić alerty znaczącymi bez dodawania nowych narzędzi.

Wysokosygnałowe wskaźniki wykrywania do wychwytywania prekursorów ransomware

Celem tutaj nie jest więcej wykryć. Chodzi o mniej wykryć z wyraźniejszą triage wydarzeń.

Dla każdego wykrycia poniżej, zacznij od „Tylko logi zabezpieczeń”, a następnie wzbogacaj, jeśli masz EDR/Sysmon.

Spraying haseł vs atak siłowy: wykrywanie oparte na wzorcach

Sygnał:

Wiele nieudanych logowań rozproszonych na kontach (spray) lub skoncentrowanych na jednym koncie (brute force).

Sugerowana logika:

• Spray: „>X awarii z jednego źródła do >Y różnych nazw użytkowników w Z minut.”
• Atak siłowy : „>X błędów dla jednej nazwy użytkownika z jednego źródła w Z minut.”

Tuning:

• wyklucz znane hosty skokowe i wyjścia VPN, z których pochodzi wielu legalnych użytkowników,
• dostosuj progi według pory dnia (awarie po godzinach mają większe znaczenie),
• dostosuj do kont serwisowych, które rzeczywiście nie powiodły się (ale także zweryfikuj dlaczego).

Kolejne kroki triage:

• potwierdź reputację adresu IP źródłowego i czy należy do twojego środowiska,
• sprawdź, czy wkrótce po tym samym źródle wystąpiło jakiekolwiek udane logowanie,
• jeśli do domeny, sprawdź również błędy walidacji kontrolera domeny.

Relewancja ransomware:

Spraying haseł to powszechna technika „pośrednika dostępu początkowego”, która poprzedza aktywność przy użyciu klawiatury.

Pierwsze logowanie RDP z uprawnieniami z nowego źródła

Sygnał:

Konto uprzywilejowane (Domain Admins, administratorzy serwera, lokalne odpowiedniki administratora) pomyślnie loguje się za pomocą RDP z źródła, które nie było wcześniej widziane.

Sugerowana logika:

• „Udane logowanie dla uprzywilejowanego konta, gdzie adres IP/stacja robocza źródłowa nie znajduje się w historii bazowej w ciągu ostatnich N dni.”

Tuning:

• utrzymuj listę dozwolonych stacji roboczych administratorów / hostów skokowych,
• traktuj "po raz pierwszy widziany" podczas normalnych okien zmian inaczej niż o 02:00.

Kolejne kroki triage:

• zweryfikuj źródłowy punkt końcowy: czy jest zarządzany przez firmę, załatany i oczekiwany?
• sprawdź, czy konto miało ostatnie resetowanie hasła lub zablokowania
• szukaj zmian uprawnień, tworzenia zadań lub tworzenia usług w ciągu 15–30 minut po zalogowaniu.

Relewancja ransomware:

Operatorzy ransomware często dążą do szybkiego uzyskania dostępu uprzywilejowanego, aby wyłączyć zabezpieczenia i szeroko wdrożyć szyfrowanie.

RDP fan-out: jedno źródło uwierzytelniające do wielu hostów

Sygnał:

Jedna stacja robocza lub IP uwierzytelnia się pomyślnie do wielu serwerów w krótkim czasie.

Sugerowana logika:

• „Jedno źródło z udanymi logowaniami do >N różnych hostów docelowych w M minut.”

Tuning:

• wyklucz znane narzędzia zarządzania i serwery skokowe, które legalnie dotykają wielu hostów,
• utwórz oddzielne progi dla kont administratorów i kont nieadministratorów,
• zaostrzyć progi po godzinach.

Kolejne kroki triage:

• zidentyfikować „host obrotowy” (źródło),
• zweryfikuj, czy konto ma zarządzać tymi lokalizacjami,
• szukaj oznak pozyskiwania poświadczeń lub wykonywania zdalnych narzędzi na źródłowym punkcie końcowym.

Relewancja ransomware:

Ruch boczny to sposób, w jaki „jedno skompromitowane logowanie” staje się „szyfrowaniem w całej domenie”.

Sukces RDP, po którym następuje zmiana uprawnień lub nowy administrator

Sygnał:

Niedługo po udanym logowaniu ten sam host pokazuje zmiany użytkowników lub grup zgodne z eskalacją uprawnień (nowy lokalny administrator, dodania do członkostwa w grupie).

Sugerowana logika:

• „Pomyślne logowanie → w ciągu N minut: nowe członkostwo w grupie administratorów lub utworzenie nowego lokalnego użytkownika.”

Tuning:

• zezwól na znane okna przydzielania, ale wymagaj zgłoszeń zmian w przypadku wyjątków,
• zwróć szczególną uwagę, gdy zmiana jest dokonywana przez użytkownik, który rzadko wykonuje zadania administracyjne .

Kolejne kroki triage:

• zweryfikuj cel zmiany (które konto otrzymało uprawnienia administratora),
• sprawdź, czy nowe konto jest używane do dodatkowych logowań natychmiast po tym,
• sprawdź, czy aktor następnie wykonał ruch rozprzestrzenienia.

Relewancja ransomware:

Zmiany uprawnień są powszechnym wstępem do wyłączenia obrony i masowego wdrożenia.

Sukces RDP, po którym następuje utworzenie zaplanowanego zadania lub usługi

Sygnał:

Interaktywna sesja jest następnie wspierana przez mechanizmy utrzymywania lub wdrażania, takie jak zaplanowane zadania lub nowe usługi.

Sugerowana logika:

• „Pomyślne logowanie → w ciągu N minut: zaplanowane zadanie utworzone lub usługa zainstalowana/utworzona.”

Tuning:

• wyklucz znane narzędzia do wdrażania oprogramowania,
• skorelowane z kontem logowania i rolą hosta (kontrolery domeny i serwery plików powinny być niezwykle wrażliwe).

Kolejne kroki triage:

• zidentyfikuj linię poleceń i ścieżkę binarną (EDR w tym pomaga),
• sprawdź, czy zadanie/usługa dotyczy wielu punktów końcowych,
• kwarantanna podejrzanych plików binarnych przed ich rozprzestrzenieniem.

Relewancja ransomware:

Zadania i usługi zaplanowane są powszechnymi sposobami na przygotowanie ładunków i wykonywanie szyfrowania na dużą skalę.

Sygnały osłabienia obrony wkrótce po RDP (gdy dostępne)

Sygnał:

Ochrona punktów końcowych jest wyłączona, uruchamiają się zabezpieczenia przed manipulacją, lub narzędzia zabezpieczające przestają działać wkrótce po nowym logowaniu zdalnym.

Sugerowana logika:

• “Logowanie RDP przez administratora → w ciągu N minut: zdarzenie wyłączenia produktu zabezpieczającego lub alert manipulacji.”

Tuning:

• traktuj wszelkie uszkodzenia serwerów jako wyższe zagrożenie niż stacje robocze,
• zweryfikować, czy okna konserwacyjne uzasadniają zmiany narzędzi.

Kolejne kroki triage:

• izoluj hosta, jeśli możesz to zrobić bezpiecznie,
• wyłącz sesję konta i obracać dane uwierzytelniające,
• polowanie na to samo konto na innych hostach.

Relewancja ransomware:

Upośledzenie obrony jest silnym wskaźnikiem aktywności operatora przy klawiaturze, a nie przypadkowego skanowania.

Przykładowa lista kontrolna triage dla sytuacji, gdy wystąpi alert poprzedzający RDP

To jest zaprojektowane z myślą o szybkości. Nie próbuj być pewny przed działaniem. Podejmij działania, aby zmniejszyć promień eksplozji podczas badania.

10-minutowa triage: potwierdź i zidentyfikuj zakres

1. Potwierdź, że alert jest prawdziwy identyfikuj użytkownika, źródło, miejsce docelowe, czas i typ logowania (dane 4624/4625).
2. Sprawdź, czy źródło należy do twojej sieci, wyjścia VPN lub oczekiwanego hosta skokowego.
3. Określ, czy konto jest uprzywilejowane i czy ten host powinien w ogóle akceptować interaktywne logowania.
4. Pivot na źródle: ile awarii, ile sukcesów, ile destynacji?

Wynik: zdecyduj, czy to jest „prawdopodobnie złośliwe”, „podejrzane” czy „oczekiwane”.

30-minutowe ograniczenie: zatrzymaj dostęp i ogranicz rozprzestrzenianie

Dźwignie ograniczające, które nie wymagają pełnej pewności:

• wyłącz lub zresetuj podejrzane dane logowania konta (szczególnie kont uprzywilejowanych),
• zablokować podejrzany adres IP na krawędzi (rozumiejąc, że napastnicy mogą zmieniać adresy),
• usuń tymczasowo dostęp RDP z szerokich grup (egzekwowanie minimalnych uprawnień),
• izoluj źródłowy punkt końcowy, jeśli wydaje się być punktem obrotu dla rozprzestrzeniania się.

Wytyczne CISA wielokrotnie podkreślają ograniczanie usług zdalnych, takich jak RDP i stosując silne praktyki, gdy jest to wymagane, ponieważ narażony lub słabo kontrolowany dostęp zdalny jest powszechną drogą wejścia.

60-minutowe rozszerzenie polowania: śledzenie ruchów bocznych i przygotowań

Teraz załóżmy, że atakujący próbuje przygotować atak.

• Szukaj dodatkowych udanych logowań dla tego samego konta na innych hostach.
• Szukaj szybkich zmian uprawnień, tworzenia nowych administratorów oraz tworzenia zadań/usług na pierwszym hoście docelowym.
• Sprawdź serwery plików i hosty wirtualizacji pod kątem nietypowych logowań (są to „mnożniki wpływu” ransomware).
• Zweryfikuj kopie zapasowe i gotowość do odzyskiwania, ale nie rozpoczynaj przywracania, dopóki nie będziesz pewien, że staging się zatrzymał.

Gdzie mieści się TSplus Advanced Security?

Kontrole oparte na obronie w celu zmniejszenia prawdopodobieństwa ransomware prowadzonego przez RDP

Stworzony dla RDP i serwerów aplikacji

Wykrywanie jest kluczowe, ale ransomware protokołu zdalnego pulpitu często odnosi sukces, ponieważ napastnicy mogą wielokrotnie próbować danych uwierzytelniających, aż coś zadziała, a następnie kontynuować, gdy już się dostaną. TSplus Advanced Security to a warstwa obronna pierwsza zaprojektowane w celu zmniejszenia prawdopodobieństwa poprzez aktywne ograniczanie i zakłócanie powszechnych ścieżek ataków RDP, które poprzedzają ransomware.

zestaw oprogramowania TSplus - wbudowana komplementarność

Ze względu na swoją komplementarność z granularnymi ograniczeniami i ustawieniami użytkowników oraz grup w TSplus Remote Access, zapewnia solidne zabezpieczenia przed próbami ataku na Twoje serwery aplikacji.

Wszechstronna ochrona, aby nie pozostawić luk

Praktycznie, zmniejszenie powierzchni uwierzytelniania i łamanie wzorców automatycznego nadużywania poświadczeń jest kluczowe. Uczestnicząc w ograniczaniu tego, kto może się połączyć, skąd i na jakich warunkach, a także ucząc się standardowych zachowań oraz stosując środki ochronne w celu zmniejszenia skuteczności ataków typu brute-force i spray, Advanced Security zapewnia solidne bariery. To uzupełnia standardową higienę RDP, nie zastępując jej, i zyskuje czas, zapobiegając temu, aby jedno szczęśliwe poświadczenie stało się interaktywnym przyczółkiem.

Mnożnik inżynierii detekcji: lepszy sygnał, szybsza reakcja

Kontrole oparte na obronie poprawiają również jakość wykrywania. Gdy hałas związany z atakami brute force w skali internetu jest zredukowany, linie bazowe stabilizują się szybciej, a progi mogą być bardziej rygorystyczne. Powiadomienia stają się bardziej wykonalne, ponieważ mniej zdarzeń powoduje tło radiacyjne.

W przypadku incydentu prędkość ma znaczenie na każdym poziomie. Oparte na polityce ograniczenia stają się natychmiastowymi dźwigniami reakcji: blokuj podejrzane źródła, kwarantanna dotkniętych obszarów, zaostrzaj dozwolone wzorce dostępu, redukuj uprawnienia i ogranicz możliwości ruchu bocznego, podczas gdy trwa dochodzenie.

Przepływ operacyjny: dźwignie ograniczające przypisane do twoich alertów

Użyj TSplus Advanced Security jako „szybkie przełączniki” powiązane z wykryciami w tym przewodniku:

• Jeśli wzrośnie liczba prób ataku za pomocą sprayu/brute-force, zaostrzyć zasady dostępu i zwiększyć automatyczne blokowanie, aby zatrzymać powtarzające się próby.
• Jeśli pojawi się pierwsze logowanie RDP z uprawnieniami z nowego źródła, ogranicz ścieżki dostępu z uprawnieniami do znanych źródeł administratorów do czasu weryfikacji.
• Jeśli wykryto ruch fan-out, ogranicz dozwolone połączenia, aby zmniejszyć rozprzestrzenianie się, jednocześnie izolując punkt końcowy pivot.

To podejście koncentruje się na wykrywaniu w pierwszej kolejności, ale z prawdziwą ochroną w pierwszej kolejności wokół niego, aby atakujący nie mógł ciągle próbować, podczas gdy ty prowadzisz dochodzenie.

Wnioski dotyczące planowania wykrywania ransomware

Ransomware protokołu pulpitu zdalnego rzadko przychodzi bez ostrzeżenia. Nadużycia poświadczeń, nietypowe wzorce logowania i szybkie zmiany po logowaniu są często widoczne na długo przed rozpoczęciem szyfrowania. Ustalając normalną aktywność RDP i alarmując na podstawie małego zestawu sygnałów o wysokiej wartości, zespoły IT mogą przejść od reaktywnego sprzątania do wczesne ograniczenie .

Sparowanie tych wykryć z kontrolami obrony, takimi jak ograniczenie ścieżek dostępu i zakłócanie prób ataków siłowych za pomocą TSplus Advanced Security, skraca czas przebywania atakującego i zyskuje minuty, które mają znaczenie przy zapobieganiu wpływowi ransomware.