Протокол удаленного рабочего стола Ransomware: Инженерия обнаружения при столкновении с вторжениями, связанными с RDP

Почему руководство по высокосигнальному обнаружению программ-вымогателей для протокола удаленного рабочего стола?

Инциденты с программами-вымогателями, использующими Протокол удаленного рабочего стола (RDP), часто начинаются одинаково: злоупотребление учетными данными, успешный интерактивный вход и тихое боковое перемещение перед шифрованием. Многие команды уже знают основы усиление RDP но операторы программ-вымогателей все еще проникают, когда мониторинг слишком шумный или триаж слишком медленный.

Этот гид сосредоточен на инженерии обнаружения для вторжений, связанных с RDP: минимальная телеметрия для сбора, как установить базовые привычки, определить шесть высокосигнальных паттернов оповещения и спланировать практический рабочий процесс триажа, чтобы действовать до шифрования.

RDP-вымогатель: почему важна его детекция?

Цепочка RDP к программам-вымогателям, которую вы действительно можете наблюдать

RDP не является "эксплойтом" в большинстве историй о программном обеспечении-вымогателе, использующем протокол удаленного рабочего стола. RDP — это интерактивный канал, который злоумышленники используют после получения учетных данных, а затем повторно используют этот же канал для перемещения между системами. Советы CISA по группам программ-вымогателей повторно документировать использование скомпрометированных учетных данных и RDP для перемещения внутри сред.

Хорошая новость заключается в том, что этот рабочий процесс оставляет следы, которые можно наблюдать в большинстве сред Windows, даже без продвинутых инструментов:

• неудачи и успехи аутентификации,
• шаблоны типов входа, соответствующие RDP,
• внезапные изменения привилегий после нового входа
• боковое движение (также известное как поведение разветвления)
• действия с постоянством, такие как запланированные задачи и службы.

Как выглядит обнаружение предварительного шифрования на практике?

Обнаружение до шифрования не означает перехват каждого сканирования или каждой неудачной попытки ввода пароля. Это означает надежный захват критических точек перехода.

1. “ атакующие пытаются получить учетные данные ”,
2. “атакующие проникли”
3. “атакующие расширяют охват”
4. “атакующие готовятся к развертыванию”.

Вот почему рекомендации CISA по программам-вымогателям подчеркивают необходимость ограничения рискованных удаленных сервисов, таких как RDP, и применения лучших практик, если RDP необходим. Обнаружение и реагирование являются частью реальности лучших практик в средах, которые не могут быть переработаны за ночь.

Что составляет минимально жизнеспособную телеметрию для обнаружения вторжений, основанного на RDP?

Журналы безопасности Windows для сбора

Журнал событий - успешные и неудачные входы:

Если вы сделаете только одно, соберите и централизуйте события безопасности Windows для входов в систему:

• Идентификатор события 4624: успешный вход
• Событие ID 4625: неудачная попытка входа

RDP интерактивные сеансы обычно отображаются как "удаленные интерактивные" входы (обычно тип входа 10 во многих средах), и вы также увидите связанную активность, когда включена аутентификация на уровне сети (NLA), потому что аутентификация происходит раньше и может быть зарегистрирована по-другому на конечном устройстве и контроллере домена.

NB: Если вы видите пробелы, проверьте события контроллера домена, связанные с проверкой учетных данных.

Что нужно зафиксировать из каждого события для инженерии обнаружения:

• целевой хост (назначение),
• имя учетной записи и домен
• исходный IP / имя рабочей станции (когда присутствует),
• тип входа
• пакет / процесс аутентификации (когда присутствует)
• коды причин сбоя (для 4625).

Журналы RDS и TerminalServices, которые добавляют контекст

Журналы безопасности сообщают вам, "кто вошел и откуда". Журналы RDS и Terminal Services помогают понять, "как вел себя сеанс", особенно в средах Remote Desktop Services с хостами сеансов.

Сбор следующих журналов ускоряет триаж, когда задействовано несколько сеансов:

• события подключения/отключения,
• шаблоны повторного подключения сессии,
• пики в создании сессий на необычных хостах.

Если ваша среда представляет собой чистый "администраторский RDP на сервер", эти журналы являются необязательными. Если вы запускаете фермы RDS, они того стоят.

Централизация и удержание: как выглядит «достаточно»

Обнаружение без централизации превращается в "удаленный доступ в коробку и надежда, что логи все еще там". Централизуйте логи в SIEM или платформе логирования, а также сохраняйте достаточный срок хранения, чтобы видеть медленные вторжения.

Практический минимум для расследований по программам-вымогателям измеряется неделями, а не днями, потому что брокеры доступа могут установить доступ задолго до шифрования. Если вы не можете сохранить все, сохраните хотя бы события аутентификации, изменения привилегий, создания задач/услуг и события защиты конечных точек.

Как вы можете установить базовый уровень нормального RDP, чтобы оповещения стали высокосигнальными?

Базовая линия по пользователю, источнику, хосту, времени и результату

Большинство предупреждений RDP не срабатывают, потому что не было установлено базовое значение. RDP в реальной жизни имеет шаблоны, такие как:

• специфические учетные записи администраторов используют специфические хосты для перехода,
• входы происходят в течение периодов обслуживания,
• определенные серверы никогда не должны принимать интерактивные входы,
• определённые пользователи никогда не должны аутентифицироваться на серверах.

Установите базовые размеры:

• пользователь → типичные хосты,
• пользователь → типичные исходящие IP-адреса / подсети,
• пользователь → типичное время входа
• хост → типичные пользователи RDP,
• хост → типичный уровень успешной аутентификации.

Затем создайте оповещения, которые срабатывают при отклонениях от этой модели, а не только на основе сырого объема.

Отделите администраторский RDP от пользовательских RDS-сессий, чтобы уменьшить шум.

Если вы используете RDS для конечных пользователей, не смешивайте "шум пользовательской сессии" с "риском администраторского пути". Создайте отдельные базовые линии и обнаружения для:

• сессии конечных пользователей к хостам сеансов (ожидается),
• администраторские сессии к серверам инфраструктуры (высокий риск),
• администраторские сеансы к контроллерам домена (высокий риск, часто должны быть "никогда").

Это разделение является одним из самых быстрых способов сделать оповещения значимыми, не добавляя новых инструментов.

Маркер высокосигнального обнаружения для выявления предшественников программ-вымогателей

Цель здесь не в большем количестве обнаружений. Это меньшее количество обнаружений с более четкой триажей событий.

Для каждого обнаружения ниже начните с "Только журналы безопасности", затем дополните, если у вас есть EDR/Sysmon.

Сравнение атак с использованием паролей и грубой силы: обнаружение на основе шаблонов

Сигнал:

Много неудачных входов, распределенных по учетным записям (спрей) или сосредоточенных на одной учетной записи (грубой силой).

Предложенная логика:

• Спрей: “>X сбоев от одного источника к >Y различным именам пользователей за Z минут.”
• Брутфорс : “>X неудач для одного имени пользователя из одного источника за Z минут”.

Настройка:

• исключить известные хосты для прыжков и выходы VPN, откуда происходит много законных пользователей,
• настраивайте пороги по времени суток (нештатные ситуации вне рабочего времени имеют большее значение),
• настроить для учетных записей службы, которые законно терпят неудачу (но также проверить, почему).

Следующие шаги по триажу:

• подтвердите репутацию IP-адреса источника и принадлежит ли он вашей среде,
• проверьте, есть ли успешный вход с того же источника вскоре после этого,
• если присоединен к домену, проверьте также сбои проверки контроллера домена.

Актуальность программ-вымогателей:

Парольное распыление — это распространенная техника «брокера начального доступа», которая предшествует активным действиям на клавиатуре.

Первый привилегированный RDP вход с нового источника

Сигнал:

Привилегированная учетная запись (Domain Admins, администраторы серверов, эквиваленты локальных администраторов) успешно вошла через RDP с источника, который ранее не был замечен.

Предложенная логика:

• Успешный вход в систему для привилегированной учетной записи, где исходный IP/рабочая станция не находятся в базовом историческом списке за последние N дней.

Настройка:

• поддерживать список разрешенных рабочих станций администраторов / хостов для подключения
• обрабатывать "впервые увидено" в обычные окна изменений иначе, чем в 02:00.

Следующие шаги по триажу:

• проверить исходную конечную точку: она управляется корпоративно, обновлена и ожидается?
• проверьте, были ли у аккаунта недавние сбросы пароля или блокировки
• ищите изменения привилегий, создание задач или создание служб в течение 15–30 минут после входа в систему.

Актуальность программ-вымогателей:

Операторы программ-вымогателей часто стремятся быстро получить привилегированный доступ, чтобы отключить защиту и широко развернуть шифрование.

RDP фан-аут: один источник аутентификации для многих хостов

Сигнал:

Один рабочая станция или IP успешно аутентифицируется на нескольких серверах за короткий промежуток времени.

Предложенная логика:

• "Один источник с успешными входами на >N различных целевых хостов за M минут."

Настройка:

• исключить известные инструменты управления и промежуточные серверы, которые законно взаимодействуют со многими хостами,
• создайте отдельные пороги для учетных записей администраторов и неадминистраторов
• ужесточить пороги вне рабочего времени.

Следующие шаги по триажу:

• определите "опорный хост" (источник),
• проверьте, ожидается ли, что учетная запись будет управлять этими направлениями,
• ищите признаки сбора учетных данных или выполнения удаленных инструментов на исходной конечной точке.

Актуальность программ-вымогателей:

Боковое перемещение — это то, как «один скомпрометированный логин» становится «шифрованием на уровне домена».

Успех RDP, за которым следует изменение привилегий или новый администратор

Сигнал:

Вскоре после успешного входа в систему тот же хост показывает изменения пользователей или групп, соответствующие эскалации привилегий (новый локальный администратор, добавления в состав группы).

Предложенная логика:

• “Успешный вход → в течение N минут: новое членство в группе администраторов или создание нового локального пользователя”.

Настройка:

• разрешить известные окна предоставления, но требовать тикеты на изменения для исключений,
• обратите особое внимание, когда изменение выполняется пользователем пользователь, который редко выполняет административные задачи .

Следующие шаги по триажу:

• проверить целевое изменение (какой учетной записи был предоставлен администратор),
• проверьте, используется ли новая учетная запись для дополнительных входов сразу после этого,
• проверьте, выполнил ли актер затем движение рассеивания.

Актуальность программ-вымогателей:

Изменения привилегий являются распространенным предвестником отключения защиты и массового развертывания.

Успех RDP, за которым следует создание запланированной задачи или службы

Сигнал:

Интерактивная сессия сопровождается механизмами постоянства или развертывания, такими как запланированные задачи или новые службы.

Предложенная логика:

• “Успешный вход → в течение N минут: запланированная задача создана или служба установлена/создана”.

Настройка:

• исключить известные инструменты развертывания программного обеспечения,
• сопоставить с учетной записью входа и ролью хоста (контроллеры домена и файловые серверы должны быть крайне чувствительными).

Следующие шаги по триажу:

• определите командную строку и путь к бинарному файлу (EDR помогает здесь),
• проверьте, нацелена ли задача/услуга на несколько конечных точек,
• карантин подозрительных бинарных файлов перед их распространением.

Актуальность программ-вымогателей:

Запланированные задачи и службы являются распространенными способами развертывания полезной нагрузки и выполнения шифрования в больших масштабах.

Сигналы ухудшения защиты вскоре после RDP (когда доступно)

Сигнал:

Защита конечных точек отключена, срабатывают защиты от подделки, или инструменты безопасности останавливаются вскоре после нового удаленного входа.

Предложенная логика:

• “Вход по RDP администратором → в течение N минут: событие отключения средства безопасности или предупреждение о вмешательстве”.

Настройка:

• рассматривать любые неисправности на серверах как более серьезные, чем на рабочих станциях,
• проверьте, оправдывают ли окна обслуживания законные изменения инструментов.

Следующие шаги по триажу:

• изолируйте хост, если вы можете сделать это безопасно,
• отключить сеанс учетной записи и вращать учетные данные,
• поиск той же учетной записи на других хостах.

Актуальность программ-вымогателей:

Уменьшение защиты является сильным индикатором активности оператора за клавиатурой, а не случайного сканирования.

Пример контрольного списка триажа для случаев, когда срабатывает предупреждение о предшественнике RDP

Это предназначено для скорости. Не пытайтесь быть уверенными перед тем, как действовать. Предпринимайте действия, чтобы уменьшить радиус поражения, пока вы проводите расследование.

10-минутная триажа: подтвердите и определите объем

1. Подтвердите, что предупреждение действительно. идентифицировать пользователя, источник, назначение, время и тип входа (данные 4624/4625).
2. Проверьте, принадлежит ли источник вашей сети, выходу VPN или ожидаемому хосту перехода.
3. Определите, является ли учетная запись привилегированной и должен ли этот хост вообще принимать интерактивные входы.
4. Сосредоточьтесь на источнике: сколько неудач, сколько успехов, сколько направлений?

Результат: решите, является ли это "вероятно вредоносным", "подозрительным" или "ожидаемым".

30-минутное сдерживание: остановить доступ и ограничить распространение

Рычаги сдерживания, которые не требуют полной уверенности:

• отключить или сбросить учетные данные подозреваемой учетной записи (особенно привилегированных учетных записей),
• заблокировать подозрительный IP-адрес источника на границе (понимая, что злоумышленники могут менять адреса),
• временно удалить доступ RDP от широких групп (принуждение к минимальным привилегиям),
• изолируйте исходную конечную точку, если она кажется центральной для движения с разветвлением.

Руководство CISA неоднократно подчеркивает ограничение удаленных служб, таких как RDP и применение строгих практик, когда это необходимо, поскольку открытый или слабо контролируемый удаленный доступ является общим путем входа.

60-минутное расширение охоты: отслеживание бокового перемещения и подготовки

Теперь предположим, что злоумышленник пытается подготовить атаку.

• Ищите дополнительные успешные входы для той же учетной записи на других хостах.
• Ищите быстрые изменения привилегий, создание новых администраторов и создание задач/услуг на первом целевом хосте.
• Проверьте файловые серверы и виртуальные хосты на наличие аномальных входов в систему (это "множители воздействия" программ-вымогателей).
• Проверьте резервные копии и готовность к восстановлению, но не начинайте восстановление, пока не убедитесь, что развертывание остановлено.

Где подходит TSplus Advanced Security?

Контроли с приоритетом защиты для снижения вероятности программ-вымогателей, связанных с RDP

Создано для RDP и серверов приложений

Обнаружение критически важно, но программное обеспечение-вымогатель, использующее протокол удаленного рабочего стола, часто добивается успеха, потому что злоумышленники могут многократно пытаться использовать учетные данные, пока что-то не сработает, а затем продолжать движение, как только они войдут. TSplus Advanced Security является защита первого уровня предназначен для снижения этой вероятности путем активного ограничения и разрушения общих путей атак RDP, которые предшествуют программам-вымогателям.

Программный пакет TSplus - встроенная совместимость

Благодаря своей совместимости с детализированными ограничениями и настройками пользователей и групп TSplus Remote Access, он обеспечивает надежную защиту от попыток атак на ваши серверы приложений.

Всеобъемлющая безопасность, чтобы не оставлять пробелов

Практически, сокращение поверхности аутентификации и разрушение автоматизированных схем злоупотребления учетными данными является ключевым моментом. Участвуя в ограничении того, кто может подключаться, откуда и при каких условиях, а также изучая стандартные поведения и применяя защитные меры для снижения эффективности грубой силы и спрея, Advanced Security предоставляет надежные барьеры. Это дополняет стандартную гигиену RDP, не заменяя ее, и дает время, предотвращая превращение одной удачной учетной записи в интерактивный плацдарм.

Множитель инженерии обнаружения: лучший сигнал, более быстрый отклик

Контроль, ориентированный на защиту, также улучшает качество обнаружения. Когда шум брутфорса на уровне интернета снижается, базовые уровни стабилизируются быстрее, и пороги могут быть более строгими. Уведомления становятся более действенными, поскольку меньшее количество событий вызывает фоновое излучение.

В инциденте скорость имеет значение на каждом уровне. Ограничения, основанные на политике, становятся немедленными рычагами реагирования: блокировать подозрительные источники, помещать в карантин затронутые области, ужесточать разрешенные схемы доступа, сокращать полномочия и ограничивать возможности бокового перемещения, пока продолжается расследование.

Операционный процесс: рычаги сдерживания, сопоставленные с вашими оповещениями

Используйте TSplus Advanced Security как «быстрые переключатели», связанные с обнаружениями в этом руководстве:

• Если паттерн спрея/грубой силы возрастает, ужесточите правила доступа и увеличьте автоматическую блокировку, чтобы остановить повторные попытки.
• Если при первом привилегированном входе RDP появляется новый источник, ограничьте привилегированные пути доступа известными административными источниками до подтверждения.
• Если обнаружено движение с разветвлением, ограничьте разрешенные соединения, чтобы уменьшить распространение, одновременно изолируя опорную конечную точку.

Этот подход сосредоточен на первичном обнаружении, но с реальной защитой на первом месте, чтобы злоумышленник не мог продолжать попытки, пока вы проводите расследование.

Заключение по планированию обнаружения программ-вымогателей

Ransomware по протоколу удаленного рабочего стола редко появляется без предупреждения. Злоупотребление учетными данными, необычные шаблоны входа и быстрые изменения после входа часто становятся видимыми задолго до начала шифрования. Установив базовые показатели нормальной активности RDP и оповещая о небольшом наборе высокосигнальных действий, ИТ-команды могут перейти от реактивной очистки к раннее сдерживание .

Сопоставление этих обнаружений с контролями, ориентированными на защиту, такими как ограничение путей доступа и разрушение попыток грубой силы с помощью TSplus Advanced Security, сокращает время пребывания атакующего и дает минуты, которые имеют значение при предотвращении воздействия программ-вымогателей.