Ransomware protokol vzdialenej plochy: Inžinierstvo detekcie čelí útokom vedeným RDP

Prečo sprievodca detekciou ransomwaru s vysokým signálom pre protokol vzdialenej plochy?

Ransomware incidenty protokolu vzdialenej plochy (RDP) často začínajú rovnakým spôsobom: zneužitie poverení, úspešné interaktívne prihlásenie a tichý bočný pohyb pred šifrovaním. Mnohé tímy už poznajú základy zabezpečenie RDP , ale operátori ransomvéru sa stále dostávajú cez systém, keď je monitorovanie príliš hlučné alebo triáž príliš pomalá.

Tento sprievodca sa zameriava na inžinierstvo detekcie pre útoky vedené RDP: minimálna telemetria na zber, ako stanoviť základné zvyky, určiť šesť vzorov s vysokým signálom a naplánovať praktický triážny pracovný tok, aby sa konalo pred šifrovaním.

RDP Ransomware: Prečo je detekcia dôležitá?

Reťazec RDP na ransomware, ktorý môžete skutočne pozorovať

RDP nie je „exploatácia“ v väčšine príbehov o ransomvéroch využívajúcich protokol Remote Desktop. RDP je interaktívny kanál, ktorý útočníci používajú po získaní poverení, a potom tento istý kanál znovu používajú na presun medzi systémami. CISA upozornenia na skupiny ransomware opakovane dokumentovať používanie kompromitovaných poverení a RDP na pohyb v prostrediach.

Dobrou správou je, že tento pracovný tok zanecháva stopy, ktoré sú pozorovateľné vo väčšine prostredí Windows, aj bez pokročilých nástrojov:

• zlyhania a úspechy autentifikácie,
• typ prihlásenia vzorov zhodný s RDP,
• náhle zmeny oprávnení po novom prihlásení
• bohatosť bočného pohybu (t.j. rozšírenie)
• akcie perzistencie ako naplánované úlohy a služby.

Aká je prax detekcie pred šifrovaním?

Detekcia pred šifrovaním neznamená zachytiť každé skenovanie alebo každý neúspešný pokus o heslo. Znamená to spoľahlivo zachytiť prechodové body, ktoré sú dôležité:

1. “ útočníci sa snažia o prihlasovacie údaje ”,
2. útočníci sa dostali dnu
3. útočníci rozširujú dosah
4. Útočníci sa pripravujú na nasadenie.

To je tiež dôvod, prečo usmernenia CISA týkajúce sa ransomvéru zdôrazňujú obmedzenie rizikových vzdialených služieb, ako je RDP, a uplatnenie osvedčených postupov, ak je RDP nevyhnutné. Detekcia a reakcia sú súčasťou reality osvedčených postupov v prostrediach, ktoré nie sú schopné prepracovať sa cez noc.

Čo predstavuje minimálne životaschopné telemetrie pre detekciu narušenia vedenú RDP?

Záznamy zabezpečenia systému Windows na zhromaždenie

Zaznamenávanie udalostí - úspešné a neúspešné prihlásenia:

Ak urobíte len jednu vec, zhromaždite a centralizujte udalosti zabezpečenia systému Windows pre prihlásenia:

• Event ID 4624: úspešné prihlásenie
• Event ID 4625: zlyhanie prihlásenia

RDP interaktívne relácie sa zvyčajne zobrazujú ako „ďaleko interaktívne“ prihlásenia (bežne typ prihlásenia 10 v mnohých prostrediach) a tiež uvidíte súvisiacu aktivitu, keď je povolená autentifikácia na úrovni siete (NLA), pretože autentifikácia prebieha skôr a môže byť zaznamenaná inak na koncovom bode a doménovom ovládači.

NB: Ak vidíte medzery, skontrolujte udalosti doménového ovládača súvisiace s overovaním poverení.

Čo zachytiť z každého podujatia pre inžinierstvo detekcie:

• cieľový hostiteľ (destinácia),
• názov účtu a doména
• zdrojová IP / názov pracovnej stanice (keď je prítomný),
• typ prihlásenia,
• autentifikačný balík / proces (keď je prítomný),
• kódy dôvodov zlyhania (pre 4625).

RDS a logy TerminalServices, ktoré pridávajú kontext

Bezpečnostné protokoly vám povedia „kto sa prihlásil a odkiaľ“. Protokoly RDS a TerminalServices pomáhajú určiť „ako sa relácia správala“, najmä v prostrediach Služieb vzdialenej plochy s hostiteľmi relácií.

Zber nasledujúcich protokolov urýchľuje triáž, keď je zapojených viacero relácií:

• udalosti pripojenia/odpojenia,
• vzory opätovného pripojenia relácie,
• nárasty v vytváraní relácií na nezvyčajných hostiteľoch.

Ak je vaše prostredie čisté „admin RDP do servera“, tieto záznamy sú voliteľné. Ak prevádzkujete farmy RDS, stoja za to.

Centralizácia a uchovávanie: ako vyzerá „dosť“

Detekcia bez centralizácie sa mení na „ďaleko do krabice a dúfať, že protokoly sú stále tam“. Centralizujte protokoly do SIEM alebo log platformy a udržujte dostatočnú retenciu, aby ste videli pomalé vniknutia.

Praktické minimum pre vyšetrovanie ransomvéru sa meria v týždňoch, nie dňoch, pretože sprostredkovatelia prístupu môžu získať prístup dlho pred šifrovaním. Ak nemôžete uchovať všetko, uchovajte aspoň autentifikáciu, zmeny oprávnení, vytváranie úloh/služieb a udalosti ochrany koncových bodov.

Ako môžete nastaviť základnú úroveň normálneho RDP, aby sa upozornenia stali vysokosignálnymi?

Základná línia podľa používateľa, zdroja, hostiteľa, času a výsledku

Najčastejšie zlyhania upozornení RDP sú spôsobené absenciou základného merania. RDP v reálnom živote má vzory, ako napríklad:

• špecifické administrátorské účty používajú špecifické skokové hostiteľské počítače,
• prihlásenia sa vyskytujú počas údržbových okien,
• určité servery by nikdy nemali akceptovať interaktívne prihlásenia,
• určité používateľské účty by sa nikdy nemali autentifikovať na serveroch.

Základné tieto rozmery:

• užívateľ → typickí hostitelia,
• užívateľ → typické zdrojové IP adresy / podsiete,
• typické časy prihlásenia
• host → typickí RDP používatelia,
• host → typická miera úspešnosti autentifikácie.

Potom vytvorte upozornenia, ktoré sa aktivujú pri odchýlkach od tohto modelu, nie len na základe surového objemu.

Oddeliť administrátorské RDP od používateľských RDS relácií, aby sa znížil hluk.

Ak prevádzkujete RDS pre koncových používateľov, nemiešajte „hluk používateľskej relácie“ s „rizikom administrátorskej cesty“. Vytvorte samostatné základné línie a detekcie pre:

• koncové používateľské relácie na hostiteľské relácie (očakávané),
• admin sessions na infraštruktúrne servery (vyššie riziko),
• admin sessions to domain controllers (najvyššie riziko, často by malo byť „nikdy“).

Toto oddelenie je jedným z najrýchlejších spôsobov, ako spraviť upozornenia zmysluplnými bez pridávania nových nástrojov.

Detekčné markery s vysokým signálom na zachytenie predchodcov ransomvéru

Cieľom tu nie je viac detekcií. Je to menej detekcií s jasnejšou triážou udalostí.

Pre každé zistenie nižšie začnite s „Iba bezpečnostné protokoly“, potom obohatte, ak máte EDR/Sysmon.

Strieľanie hesiel vs hrubá sila: detekcia založená na vzoroch

Signál:

Mnoho neúspešných prihlásení rozdelených medzi účty (spray) alebo sústredených na jeden účet (brute force).

Navrhovaná logika:

• Striekajte: “>X zlyhaní z jedného zdroja na >Y rôznych používateľských menách za Z minút.”
• Bruteforce : „>X zlyhaní pre jedno používateľské meno z jedného zdroja za Z minút.“

Ladenie:

• vylúčiť známe skokové hostiteľské a VPN výstupy, kde pochádza mnoho legitímnych používateľov,
• nastavte prahové hodnoty podľa času dňa (zlyhania mimo pracovných hodín sú dôležitejšie),
• naladiť pre servisné účty, ktoré legitímne zlyhávajú (ale tiež overiť prečo).

Triage ďalšie kroky:

• potvrďte povesť zdrojovej IP adresy a či patrí do vášho prostredia,
• skontrolujte, či sa krátko po tom istom zdroji uskutočnil nejaký úspešný prístup,
• ak je pripojený k doméne, skontrolujte aj zlyhania overenia ovládacieho prvku domény.

Relevancia ransomvéru:

Password spraying je bežná technika „počiatočného prístupu“ brokerov, ktorá predchádza činnosti s klávesnicou.

Prvý privilegovaný RDP prístup z nového zdroja

Signál:

Privilegovaný účet (Domain Admins, správcovia servera, ekvivalenty miestneho administrátora) sa úspešne prihlásil cez RDP z zdroja, ktorý nebol predtým zaznamenaný.

Navrhovaná logika:

• Úspešné prihlásenie pre privilegovaný účet, kde zdrojová IP/pracovná stanica nie je v základnej histórii za posledných N dní.

Ladenie:

• udržiavať zoznam schválených administrátorských pracovných staníc / skokových hostiteľov,
• zaobchádzajte s „prvýkrát videné“ počas normálnych zmien inak ako o 02:00.

Triage ďalšie kroky:

• overiť zdrojový koncový bod: je spravovaný spoločnosťou, opravený a očakávaný?
• skontrolujte, či mal účet nedávne obnovenia hesla alebo zablokovania
• hľadajte zmeny oprávnení, vytváranie úloh alebo vytváranie služieb do 15–30 minút po prihlásení.

Relevancia ransomvéru:

Operátori ransomvéru často rýchlo usilujú o privilegovaný prístup, aby deaktivovali obranu a široko nasadili šifrovanie.

RDP fan-out: jeden zdroj autentifikujúci sa na mnohých hostiteľoch

Signál:

Jednotlivé pracovná stanica alebo IP autentifikuje sa úspešne na viacerých serveroch v krátkom časovom okne.

Navrhovaná logika:

• „Jedno zdroj s úspešnými prihláseniami na >N rôznych cieľových hostiteľoch za M minút.“

Ladenie:

• vylúčiť známe nástroje na správu a skokové servery, ktoré legitímne zasahujú do mnohých hostiteľov,
• vytvoriť samostatné prahové hodnoty pre administrátorské účty a neadministrátorské účty,
• utiahnuť prahové hodnoty po pracovnej dobe.

Triage ďalšie kroky:

• identifikujte „pivot host“ (zdroj),
• overiť, či sa očakáva, že účet bude spravovať tieto destinácie,
• hľadajte znaky zberu poverení alebo vykonávania vzdialených nástrojov na zdrojovom koncovom bode.

Relevancia ransomvéru:

Lateral movement je spôsob, ako sa „jedno kompromitované prihlásenie“ stáva „šifrovaním v celej doméne“.

Úspech RDP nasledovaný zmenou oprávnení alebo novým administrátorom

Signál:

Krátko po úspešnom prihlásení rovnaký hostiteľ zobrazuje zmeny používateľa alebo skupiny, ktoré sú v súlade s eskaláciou oprávnení (nový lokálny administrátor, pridania do skupiny).

Navrhovaná logika:

• „Úspešné prihlásenie → do N minút: nové členstvo v administrátorskej skupine alebo vytvorenie nového miestneho používateľa.“

Ladenie:

• dovoľte známe okná na poskytovanie, ale vyžadujte zmenové lístky pre výnimky,
• venujte osobitnú pozornosť, keď sa zmena vykonáva pomocou užívateľ, ktorý zriedka vykonáva administratívne úlohy .

Triage ďalšie kroky:

• overiť cieľ zmeny (ktorý účet bol udelený administrátorovi),
• skontrolujte, či sa nový účet používa na ďalšie prihlásenia okamžite po,
• skontrolujte, či herec potom vykonal pohyb fan-out.

Relevancia ransomvéru:

Zmeny oprávnení sú bežným predzvesťou vypnutia obrany a hromadného nasadenia.

Úspech RDP nasledovaný vytvorením naplánovanej úlohy alebo služby

Signál:

Interaktívna relácia je nasledovaná mechanizmami pre trvalosť alebo nasadenie, ako sú naplánované úlohy alebo nové služby.

Navrhovaná logika:

• Úspešné prihlásenie → do N minút: naplánovaná úloha vytvorená alebo služba nainštalovaná/vytvorená.

Ladenie:

• vylúčiť známe nástroje na nasadenie softvéru,
• súvisieť s prihlasovacím účtom a rolou hostiteľa (doménové ovládače a súborové servery by mali byť mimoriadne citlivé).

Triage ďalšie kroky:

• identifikujte príkazový riadok a cestu k binárnemu súboru (EDR tu pomáha),
• skontrolujte, či úloha/služba cielená na viacero koncových bodov,
• karanténa podozrivých binárnych súborov pred ich šírením.

Relevancia ransomvéru:

Naplánované úlohy a služby sú bežné spôsoby, ako nasadiť zaťaženia a vykonávať šifrovanie vo veľkom meradle.

Signály poškodenia obrany sa objavia čoskoro po RDP (keď je k dispozícii)

Signál:

Ochrana koncových bodov je zakázaná, ochrany proti manipulácii sa spustia, alebo bezpečnostné nástroje sa zastavia krátko po novom vzdialenom prihlásení.

Navrhovaná logika:

• „RDP prihlásenie administrátora → do N minút: udalosť deaktivácie bezpečnostného produktu alebo upozornenie na manipuláciu.“

Ladenie:

• považujte akékoľvek poškodenie serverov za vyššiu závažnosť ako pracovné stanice,
• overte, či sú údržbové okná oprávnené na zmeny nástrojov.

Triage ďalšie kroky:

• izolujte hostiteľa, ak to môžete urobiť bezpečne,
• deaktivovať reláciu účtu a otáčať poverenia,
• hľadať rovnaký účet na iných hostiteľoch.

Relevancia ransomvéru:

Zhoršenie obrany je silným ukazovateľom aktivity operátora za klávesnicou, nie náhodného skenovania.

Príklad triážneho kontrolného zoznamu pre prípady, keď sa spustí upozornenie na predchodcu RDP

Toto je navrhnuté pre rýchlosť. Nepokúšajte sa byť si istí pred konaním. Podniknite kroky na zníženie rozsahu výbuchu, kým vyšetrovanie prebieha.

10-minútová triáž: potvrdiť a identifikovať rozsah

1. Potvrďte, že upozornenie je skutočné identifikovať používateľa, zdroj, cieľ, čas a typ prihlásenia (údaje 4624/4625).
2. Skontrolujte, či zdroj patrí do vašej siete, VPN výstupu alebo očakávaného skokového hostiteľa.
3. Určte, či je účet privilegovaný a či by tento hostiteľ mal akceptovať interaktívne prihlásenia.
4. Pivot na zdroji: koľko zlyhaní, koľko úspechov, koľko destinácií?

Výsledok: rozhodnite, či je to „pravdepodobne škodlivé“, „podozrivé“ alebo „očakávané“.

30-minútové obmedzenie: zastaviť prístup a obmedziť šírenie

Nástroje na obmedzenie, ktoré nevyžadujú úplnú istotu:

• deaktivovať alebo resetovať podozrivé poverenia účtu (najmä privilegované účty),
• zablokovať podozrivú IP adresu na okraji (s pochopením, že útočníci môžu rotovať),
• dočasne odstrániť prístup RDP z širokých skupín (vynucovanie minimálnych oprávnení),
• izolujte zdrojový koncový bod, ak sa zdá, že je pivotom pre rozšírenie pohybu.

CISA opakovane zdôrazňuje obmedzovanie vzdialených služieb ako RDP a uplatňovaním silných praktík, keď je to potrebné, pretože vystavený alebo slabšie kontrolovaný vzdialený prístup je bežnou vstupnou cestou.

60-minútové rozšírenie lovu: sledovanie bočného pohybu a prípravy

Teraz predpokladajme, že útočník sa snaží pripraviť.

• Hľadajte ďalšie úspešné prihlásenia pre rovnaký účet na iných hostiteľoch.
• Hľadajte rýchle zmeny oprávnení, vytváranie nových administrátorov a vytváranie úloh/služieb na prvom cieľovom hostiteľovi.
• Skontrolujte súborové servery a virtualizačné hostiteľské systémy na abnormálne prihlásenia (toto sú "multiplikátory dopadu" ransomvéru).
• Overte zálohy a pripravenosť na obnovenie, ale nezačínajte obnovy, kým si nie ste istí, že staging sa zastavil.

Kde sa nachádza TSplus Advanced Security?

Ovládania s prioritou obrany na zníženie pravdepodobnosti ransomvéru vedeného RDP

Vyrobené pre RDP a pre aplikačné servery

Detekcia je kritická, ale ransomware protokolu Remote Desktop často uspeje, pretože útočníci môžu opakovane skúšať poverenia, kým niečo nefunguje, a potom sa pohybovať ďalej, keď sa dostanú dnu. TSplus Advanced Security je a obrana-prvá vrstva navrhnuté na zníženie tejto pravdepodobnosti aktívnym obmedzovaním a narušovaním bežných RDP útočných ciest, ktoré predchádzajú ransomwaru.

súbor softvéru TSplus - zabudovaná komplementárnosť

Vďaka svojej doplnkovosti k podrobným obmedzeniam a nastaveniam používateľov a skupín v TSplus Remote Access poskytuje silné obrany proti pokusom o útok na vaše aplikačné servery.

Komplexná bezpečnosť bez medzier

Prakticky je kľúčové zmenšiť povrch autentifikácie a narušiť vzory automatizovaného zneužívania poverení. Účasťou na obmedzení toho, kto sa môže pripojiť, odkiaľ a za akých podmienok, ako aj učením sa štandardných správaní a aplikovaním ochranných opatrení na zníženie účinnosti útokov hrubou silou a sprejových útokov, Advanced Security poskytuje pevné bariéry. To dopĺňa štandardnú hygienu RDP bez jej nahradenia a získava čas tým, že zabraňuje tomu, aby sa jedno šťastné poverenie stalo interaktívnym východiskom.

Detekčná inžinierska násobiteľ: lepší signál, rýchlejšia reakcia

Kontroly s prioritou obrany tiež zlepšujú kvalitu detekcie. Keď sa zníži hluk z útokov hrubou silou na úrovni internetu, základné hodnoty sa stabilizujú rýchlejšie a prahy môžu byť prísnejšie. Upozornenia sa stávajú akčnejšími, pretože menej udalostí spôsobuje pozadie.

V prípade incidentu je rýchlosť dôležitá na každej úrovni. Obmedzenia riadené politikou sa stávajú okamžitými reakčnými pákami: blokovať podozrivé zdroje, karanténovať postihnuté oblasti, sprísniť povolené prístupové vzory, znížiť oprávnenia a obmedziť príležitosti na laterálny pohyb, kým prebieha vyšetrovanie.

Prevádzkový tok: páky na obmedzenie priradené k vašim upozorneniam

Použiť TSplus Advanced Security ako „rýchle prepínače“ viazané na detekcie v tejto príručke:

• Ak sa zvýši počet pokusov o prístup pomocou spreja/brute-force vzoru, sprísnite pravidlá prístupu a zvýšte automatické blokovanie, aby ste zastavili opakované pokusy.
• Ak sa objaví prvé privilegované prihlásenie RDP z nového zdroja, obmedzte privilegované prístupové cesty na známe administrátorské zdroje, kým nebudú overené.
• Ak sa zistí pohyb fan-out, obmedzte povolené pripojenia na zníženie šírenia a súčasne izolujte pivotný koncový bod.

Tento prístup sa zameriava na detekciu ako prvú, ale s reálnou ochranou ako prvou silou okolo toho, aby útočník nemohol neustále skúšať, kým vy vyšetrovanie.

Záver o plánovaní detekcie ransomvéru

Ransomware protokol vzdialenej plochy zriedka prichádza bez varovania. Zneužitie poverení, nezvyčajné vzory prihlásenia a rýchle zmeny po prihlásení sú často viditeľné dlho pred začiatkom šifrovania. Stanovením normálnej aktivity RDP a upozornením na malú sadu správania s vysokým signálom môžu IT tímy prejsť od reaktívneho čistenia k skoré obmedzenie .

Spárovanie týchto detekcií s kontrolami zameranými na obranu, ako je obmedzenie prístupových ciest a narušenie pokusov o hrubú silu pomocou TSplus Advanced Security, znižuje čas pobytu útočníka a získa minúty, ktoré sú dôležité pri prevencii dopadu ransomvéru.