Ransomware ng Remote Desktop Protocol: Inhinyeriya ng Pagtuklas sa Harap ng mga Pagsalakay na Pinangunahan ng RDP

Bakit isang Patnubay sa Mataas na Signal ng Pagtuklas ng Ransomware ng Remote Desktop Protocol?

Ang mga insidente ng ransomware ng Remote Desktop Protocol (RDP) ay madalas na nagsisimula sa parehong paraan: pang-aabuso sa kredensyal, isang matagumpay na interactive na pag-logon at tahimik na lateral na paggalaw bago ang pag-encrypt. Maraming mga koponan ang nakakaalam na ng mga batayan ng pagsasagawa ng seguridad sa RDP ngunit ang mga operator ng ransomware ay nakakapasok pa rin kapag ang pagmamanman ay masyadong maingay o ang triage ay masyadong mabagal.

Ang gabay na ito ay nakatuon sa engineering ng pagtuklas para sa mga paglusob na pinangunahan ng RDP: ang pinakamababang telemetry na dapat kolektahin, kung paano itakda ang mga gawi, tukuyin ang anim na mataas na signal na pattern ng alerto at magplano ng isang praktikal na workflow ng triage upang kumilos bago ang encryption.

RDP Ransomware: Bakit Mahalaga ang Pagtuklas?

Ang kadena ng RDP patungo sa ransomware na maaari mong talagang obserbahan

Ang RDP ay hindi "ang pagsasamantala" sa karamihan ng mga kwento ng ransomware na gumagamit ng Remote Desktop Protocol. Ang RDP ang interaktibong channel na ginagamit ng mga umaatake pagkatapos nilang makuha ang mga kredensyal, at pagkatapos ay muling ginagamit ang parehong channel upang lumipat sa pagitan ng mga sistema. CISA mga abiso sa mga grupo ng ransomware paulit-ulit na idokumento ang paggamit ng mga nakompromisong kredensyal at RDP para sa paggalaw sa loob ng mga kapaligiran.

Ang magandang balita ay ang workflow na ito ay nag-iiwan ng mga bakas na maaaring obserbahan sa karamihan ng mga kapaligiran ng Windows, kahit na walang advanced na kagamitan:

• mga pagkabigo at tagumpay sa pagpapatotoo,
• mga pattern ng uri ng logon na pare-pareho sa RDP,
• biglaang pagbabago ng pribilehiyo pagkatapos ng bagong pag-logon,
• paggalaw sa gilid (kilala bilang fan-out) na pag-uugali,
• mga aksyon ng pagpapanatili tulad ng mga nakaiskedyul na gawain at serbisyo.

Ano ang hitsura ng pre-encryption detection sa praktika?

Ang pagtuklas bago ang pag-encrypt ay hindi nangangahulugang mahuhuli ang bawat scan o bawat nabigong pagtatangkang password. Nangangahulugan ito ng maaasahang pagkuha sa mga punto ng transisyon na mahalaga:

1. “ sinusubukan ng mga umaatake ang mga kredensyal ”,
2. “nakapasok ang mga umaatake”
3. “ang mga umaatake ay pinalalawak ang abot”
4. “ang mga umaatake ay naghahanda na mag-deploy.”

Kaya't ito rin ang dahilan kung bakit binibigyang-diin ng mga patnubay ng CISA sa ransomware ang paglilimita sa mga mapanganib na remote na serbisyo tulad ng RDP at ang paglalapat ng mga pinakamahusay na kasanayan kung kinakailangan ang RDP. Ang pagtuklas at pagtugon ay bahagi ng isang realidad ng pinakamahusay na kasanayan sa mga kapaligiran na hindi kayang muling idisenyo sa magdamag.

Ano ang bumubuo sa Minimum Viable Telemetry para sa RDP-led Intrusion Detection?

Mga log ng Seguridad ng Windows na dapat kolektahin

Pag-log ng mga kaganapan - matagumpay at nabigong pag-login:

Kung gagawa ka lamang ng isang bagay, kolektahin at sentralisahin ang mga kaganapan sa Seguridad ng Windows para sa mga pag-login:

• Event ID 4624: matagumpay na pag-login
• Event ID 4625: nabigong mag-logon

Ang mga interactive session ng RDP ay karaniwang lumalabas bilang "remote interactive" na mga logon (karaniwang Logon Type 10 sa maraming kapaligiran), at makikita mo rin ang kaugnay na aktibidad kapag naka-enable ang Network Level Authentication (NLA), dahil ang pagpapatunay ay nangyayari nang mas maaga at maaaring maitala nang iba sa endpoint at domain controller.

NB: Kung makakita ka ng mga puwang, suriin ang mga kaganapan ng domain controller na may kaugnayan sa pagpapatunay ng kredensyal.

Ano ang dapat kunin mula sa bawat kaganapan para sa detection engineering:

• target host (destination),
• pangalan ng account at domain
• source IP / workstation name (when present),
• uri ng pag-logon,
• pakete / proseso ng pagpapatunay (kapag naroroon)
• mga dahilan ng pagkabigo (para sa 4625).

RDS at TerminalServices na mga log na nagbibigay ng konteksto

Ang mga log ng seguridad ay nagsasabi sa iyo kung "sino ang nag-log in at mula saan." Ang mga log ng RDS at Terminal Services ay tumutulong upang sabihin sa iyo kung "paano kumilos ang sesyon," lalo na sa mga kapaligiran ng Remote Desktop Services na may mga host ng sesyon.

Ang pagkolekta ng mga sumusunod na log ay nagpapabilis sa triage kapag maraming sesyon ang kasangkot:

• mga kaganapan ng koneksyon/pag-disconnect
• mga pattern ng muling pagkonekta ng sesyon,
• spikes sa paglikha ng sesyon sa mga hindi pangkaraniwang host.

Kung ang iyong kapaligiran ay purong "admin RDP sa server", ang mga log na ito ay opsyonal. Kung nagpapatakbo ka ng mga RDS farm, sulit ang mga ito.

Sentralisasyon at pagpapanatili: kung ano ang hitsura ng "sapat"

Ang pagtuklas nang walang sentralisasyon ay nagiging "remote sa isang kahon at umaasa na nandiyan pa ang mga log". I-centralize ang mga log sa isang SIEM o platform ng log pati na rin panatilihin ang sapat na retention upang makita ang mabagal na paglusob.

Isang praktikal na minimum para sa mga pagsisiyasat sa ransomware ay sinusukat sa mga linggo, hindi sa mga araw, dahil ang mga access broker ay maaaring magtatag ng access nang matagal bago ang encryption. Kung hindi mo maitatag ang lahat, itago ang hindi bababa sa authentication, mga pagbabago sa pribilehiyo, paglikha ng mga gawain/serbisyo at mga kaganapan sa endpoint protection.

Paano Mo Maibabase ang Normal na RDP upang Maging Mataas ang Signal ng mga Alerto?

Baseline ng gumagamit, pinagmulan, host, oras at kinalabasan

Karamihan sa mga alerto ng RDP ay nabibigo dahil walang baselining. Ang RDP sa totoong buhay ay may mga pattern, tulad ng:

• ang mga tiyak na account ng admin ay gumagamit ng mga tiyak na jump host,
• nagaganap ang mga logon sa panahon ng pagpapanatili,
• certain servers should never accept interactive logons,
• certain users should never authenticate to servers at all.

I-base ang mga sukat na ito:

• user → karaniwang mga host,
• user → karaniwang source IPs / subnets,
• user → karaniwang oras ng pag-login,
• host → karaniwang mga gumagamit ng RDP,
• host → karaniwang tagumpay ng pagpapatotoo.

Pagkatapos ay bumuo ng mga alerto na lumalabas sa mga paglihis mula sa modelong iyon, hindi lamang sa raw na dami.

Hatiin ang admin RDP mula sa mga session ng user RDS upang mabawasan ang ingay

Kung nagpapatakbo ka ng RDS para sa mga end user, huwag paghaluin ang "user session noise" sa "admin path risk". Gumawa ng hiwalay na mga baseline at detections para sa:

• mga sesyon ng end-user sa mga session host (inaasahan),
• mga admin session sa mga server ng imprastruktura (mas mataas na panganib),
• admin sessions to domain controllers (pinakamataas na panganib, kadalasang dapat ay "hindi kailanman").

Ang paghihiwalay na ito ay isa sa pinakamabilis na paraan upang gawing makabuluhan ang mga alerto nang hindi nagdaragdag ng bagong kagamitan.

Mga Mataas na Signal na Pagtuklas ng mga Marker upang Mahuli ang mga Paunang Palatandaan ng Ransomware

Ang layunin dito ay hindi mas maraming pagtuklas. Ito ay mas kaunting pagtuklas na may mas malinaw na pagsusuri ng mga kaganapan.

Para sa bawat pagtuklas sa ibaba, simulan sa "Mga log ng seguridad lamang", pagkatapos ay palawakin kung mayroon kang EDR/Sysmon.

Pagsusuri ng password spraying laban sa brute force: batay sa pattern na pagtuklas

Signal:

Maraming nabigong pag-log in na ipinamamahagi sa mga account (spray) o nakatuon sa isang account (brute force).

Inirekomendang lohika:

• Spray: “>X na pagkabigo mula sa isang pinagmulan sa >Y natatanging mga username sa Z minuto.”
• Brute force : “>X na pagkabigo para sa isang username mula sa isang pinagmulan sa Z minuto.”

Pagsasaayos:

• ibukod ang mga kilalang jump host at VPN egress kung saan nagmumula ang maraming lehitimong gumagamit,
• i-tune ang mga threshold ayon sa oras ng araw (mas mahalaga ang mga pagkabigo sa labas ng oras ng trabaho),
• i-tune para sa mga service account na lehitimong nabigo (ngunit suriin din kung bakit).

Susunod na mga hakbang sa triage:

• kumpirmahin ang reputasyon ng source IP at kung ito ay kabilang sa iyong kapaligiran,
• suriin kung mayroong anumang matagumpay na pag-logon para sa parehong pinagmulan sa lalong madaling panahon pagkatapos,
• kung nakasali sa domain, suriin din ang mga pagkabigo sa pagpapatunay ng domain controller.

Kahalagahan ng Ransomware:

Ang password spraying ay isang karaniwang teknik ng "initial access broker" na nauuna sa aktibidad na may kamay sa keyboard.

Unang beses na pribilehiyadong RDP logon mula sa isang bagong pinagmulan

Signal:

Isang pribilehiyadong account (Domain Admins, mga admin ng server, mga katumbas ng lokal na admin) na matagumpay na nag-log in sa pamamagitan ng RDP mula sa isang pinagmulan na hindi pa nakita dati.

Inirekomendang lohika:

• “Matagumpay na pag-logon para sa pribilehiyadong account kung saan ang source IP/workstation ay hindi nasa baseline history sa nakaraang N araw.”

Pagsasaayos:

• panatilihin ang isang allowlist ng mga aprubadong admin workstations / jump hosts,
• itreat ang "unang beses na nakita" sa normal na mga bintana ng pagbabago nang iba kaysa sa 02:00.

Susunod na mga hakbang sa triage:

• i-validate ang source endpoint: ito ba ay corporate managed, patched at inaasahan?
• suriin kung ang account ay may mga kamakailang pag-reset ng password o mga lockout,
• maghanap para sa mga pagbabago sa pribilehiyo, paglikha ng gawain o paglikha ng serbisyo sa loob ng 15–30 minuto pagkatapos ng pag-logon.

Kahalagahan ng Ransomware:

Madalas na hinahabol ng mga operator ng Ransomware ang pribilehiyadong access nang mabilis upang i-disable ang mga depensa at malawak na itulak ang encryption.

RDP fan-out: isang pinagmulan na nag-a-authenticate sa maraming host

Signal:

Isang solong workstation o IP nag-authenticate ng matagumpay sa maraming server sa loob ng maikling panahon.

Inirekomendang lohika:

• Isang pinagmulan na may matagumpay na pag-login sa >N natatanging host ng patutunguhan sa loob ng M minuto.

Pagsasaayos:

• ibukod ang mga kilalang kasangkapan sa pamamahala at mga jump server na lehitimong humahawak ng maraming host,
• lumikha ng hiwalay na mga threshold para sa mga admin account kumpara sa mga non-admin account,
• palakasin ang mga threshold pagkatapos ng oras.

Susunod na mga hakbang sa triage:

• tukuyin ang "pivot host" (ang pinagmulan),
• suriin kung ang account ay inaasahang pamahalaan ang mga patutunguhan na iyon,
• maghanap ng mga palatandaan ng pagkuha ng kredensyal o pagpapatupad ng remote tooling sa pinagmulan ng endpoint.

Kahalagahan ng Ransomware:

Ang lateral na paggalaw ay kung paano nagiging "encryption sa buong domain" ang "isang nakompromisong pag-login".

Tagumpay ng RDP na sinundan ng pagbabago ng pribilehiyo o bagong admin

Signal:

Kaagad pagkatapos ng matagumpay na pag-logon, ang parehong host ay nagpapakita ng mga pagbabago sa gumagamit o grupo na naaayon sa pagtaas ng pribilehiyo (bagong lokal na admin, mga karagdagan sa pagiging miyembro ng grupo).

Inirekomendang lohika:

• “Matagumpay na pag-logon → sa loob ng N minuto: bagong membership ng admin group o bagong lokal na paglikha ng user.”

Pagsasaayos:

• payagan ang mga kilalang bintana ng provisioning, ngunit mangailangan ng mga tiket ng pagbabago para sa mga pagbubukod,
• bigyang-pansin ang pagbabago kapag ito ay isinagawa ng isang gumagamit na bihirang gumagawa ng mga gawain ng admin .

Susunod na mga hakbang sa triage:

• i-validate ang target na pagbabago (aling account ang binigyan ng admin),
• suriin kung ang bagong account ay ginagamit para sa karagdagang pag-login kaagad pagkatapos,
• suriin kung ang aktor ay pagkatapos ay nagsagawa ng fan-out na galaw.

Kahalagahan ng Ransomware:

Ang mga pagbabago sa pribilehiyo ay isang karaniwang paunang senyales ng pagsasara ng depensa at malawakang pag-deploy.

RDP tagumpay na sinundan ng nakatakdang gawain o paglikha ng serbisyo

Signal:

Isang interactive na sesyon ay sinusundan ng mga mekanismo ng pagpapanatili o pag-deploy tulad ng mga nakatakdang gawain o bagong serbisyo.

Inirekomendang lohika:

• “Matagumpay na pag-logon → sa loob ng N minuto: nakaiskedyul na gawain na nilikha o serbisyo na na-install/nilikha.”

Pagsasaayos:

• ibukod ang mga kilalang kasangkapan sa pag-deploy ng software,
• iugnay sa logon account at host role (dapat maging labis na sensitibo ang mga domain controller at file server).

Susunod na mga hakbang sa triage:

• tukuyin ang command line at binary path (tumutulong ang EDR dito),
• suriin kung ang gawain/serbisyo ay nakatuon sa maraming endpoint,
• i-quarantine ang mga kahina-hinalang binaries bago sila kumalat.

Kahalagahan ng Ransomware:

Ang mga nakatakdang gawain at serbisyo ay karaniwang mga paraan upang i-stage ang mga payload at isagawa ang encryption sa malaking sukat.

Signal ng pagkasira ng depensa kaagad pagkatapos ng RDP (kapag available)

Signal:

Naka-disable ang Endpoint protection, nag-trigger ang mga proteksyon laban sa panghihimasok, o humihinto ang mga tool sa seguridad kaagad pagkatapos ng isang bagong remote logon.

Inirekomendang lohika:

• “RDP logon ng admin → sa loob ng N minuto: kaganapan ng pag-disable ng produkto ng seguridad o alerto ng panghihimasok.”

Pagsasaayos:

• ituring ang anumang kapansanan sa mga server bilang mas mataas na antas ng pagkaseryoso kaysa sa mga workstation,
• suriin kung ang mga bintana ng pagpapanatili ay nagbibigay-katwiran sa mga lehitimong pagbabago ng tool.

Susunod na mga hakbang sa triage:

• ihiwalay ang host kung maaari mo itong gawin nang ligtas,
• huwag paganahin ang session ng account at i-rotate ang mga kredensyal,
• manghuli para sa parehong account sa ibang mga host.

Kahalagahan ng Ransomware:

Ang pagkasira ng depensa ay isang malakas na indikasyon ng aktibidad ng operator na gumagamit ng keyboard, hindi ng random na pag-scan.

Halimbawa ng Triage Checklist Para sa Kapag Ang Isang RDP Precursor Alert Ay Pumutok

Ito ay dinisenyo para sa bilis. Huwag subukang maging tiyak bago kumilos. Gumawa ng mga hakbang upang bawasan ang saklaw ng pagsabog habang ikaw ay nagsisiyasat.

10-minutong triage: kumpirmahin at tukuyin ang saklaw

1. Kumpirmahin na ang alerto ay totoo tukuyin ang gumagamit, pinagmulan, patutunguhan, oras at uri ng pag-logon (4624/4625 na data).
2. Suriin kung ang pinagmulan ay kabilang sa iyong network, VPN egress o isang inaasahang jump host.
3. Tukuyin kung ang account ay may pribilehiyo at kung dapat tanggapin ng host na ito ang mga interactive logon.
4. Pivot sa pinagmulan: gaano karaming pagkabigo, gaano karaming tagumpay, gaano karaming destinasyon?

Kinalabasan: tukuyin kung ito ay "malamang na mapanlinlang", "kahina-hinala" o "inaasahan".

30-minutong pagpigil: itigil ang pag-access at limitahan ang pagkalat

Mga levers ng containment na hindi nangangailangan ng ganap na katiyakan:

• huwag paganahin o i-reset ang mga kredensyal ng pinaghihinalaang account (lalo na ang mga pribilehiyadong account),
• i-block ang kahina-hinalang source IP sa gilid (na nauunawaan na ang mga umaatake ay maaaring mag-rotate),
• alisin ang RDP access pansamantala mula sa malawak na grupo (pagsasagawa ng pinakamababang pribilehiyo),
• ihiwalay ang source endpoint kung ito ay tila ang pivot para sa fan-out na paggalaw.

Paulit-ulit na binibigyang-diin ng patnubay ng CISA paghihigpit ng mga remote na serbisyo tulad ng RDP at nag-aaplay ng matitibay na kasanayan kapag kinakailangan, dahil ang nakalantad o mahina ang kontrol na remote access ay isang karaniwang daan ng pagpasok.

60-minutong pagpapalawak ng panghuhuli: subaybayan ang lateral na paggalaw at pagsasaayos

Ngayon ay ipagpalagay na ang umaatake ay sinusubukang maghanda.

• Maghanap ng karagdagang matagumpay na pag-log in para sa parehong account sa iba pang mga host.
• Tumingin para sa mabilis na pagbabago ng pribilehiyo, bagong paglikha ng admin at paglikha ng gawain/serbisyo sa unang host ng destinasyon.
• Suriin ang mga file server at virtualization host para sa mga abnormal na logon (ito ay mga ransomware "impact multipliers").
• Suriin ang mga backup at kahandaan sa pagbawi, ngunit huwag simulan ang mga pagbawi hanggang sa ikaw ay tiyak na huminto na ang staging.

Saan Pumapasok ang TSplus Advanced Security?

Mga kontrol na nakatuon sa depensa upang bawasan ang posibilidad ng ransomware na pinapagana ng RDP

Ginawa para sa RDP at para sa mga application server

Mahalaga ang pagtuklas, ngunit madalas na nagtatagumpay ang ransomware ng Remote Desktop Protocol dahil ang mga umaatake ay maaaring subukan ang mga kredensyal nang paulit-ulit hanggang sa may magtagumpay, at pagkatapos ay patuloy na kumilos kapag nakapasok na sila. TSplus Advanced Security ay isang defend-unang layer dinisenyo upang bawasan ang posibilidad na iyon sa pamamagitan ng aktibong paghihigpit at pagwasak sa mga karaniwang landas ng pag-atake ng RDP na nauuna sa ransomware.

TSplus software suite - built-in complementarity

Dahil sa pagkakabagay nito sa granular na mga limitasyon at mga setting ng gumagamit at grupo ng TSplus Remote Access, nagbibigay ito ng matibay na depensa laban sa mga pagtatangkang atakehin ang iyong mga application server.

Komprehensibong seguridad upang walang maiiwang puwang

Sa praktikal na paraan, ang pagpapaliit ng ibabaw ng pagpapatunay at pagbasag ng mga automated na pattern ng pang-aabuso sa kredensyal ay susi. Sa pamamagitan ng pakikilahok sa paglilimita kung sino ang maaaring kumonekta, mula saan at sa ilalim ng aling mga kondisyon, pati na rin ang pag-aaral ng mga karaniwang pag-uugali at paglalapat ng mga proteksiyon na kontrol upang mabawasan ang bisa ng brute-force at spray, nagbibigay ang Advanced Security ng matibay na hadlang. Ito ay nagdadagdag sa karaniwang kalinisan ng RDP nang hindi ito pinapalitan at nagbibigay ito ng oras sa pamamagitan ng pagpigil sa isang masuwerteng kredensyal na maging isang interactive na foothold.

Multiplier ng inhenyeriya ng pagtuklas: mas mahusay na signal, mas mabilis na tugon

Ang mga kontrol na nakatuon sa depensa ay nagpapabuti rin sa kalidad ng pagtuklas. Kapag nabawasan ang ingay ng brute force sa antas ng internet, mas mabilis na nagiging matatag ang mga baseline at mas mahigpit ang mga threshold. Ang mga alerto ay nagiging mas maaksiyon dahil mas kaunti ang mga kaganapan na nagiging sanhi ng background radiation.

Sa isang insidente, mahalaga ang bilis sa bawat antas. Ang mga restriksyon na pinapagana ng patakaran ay nagiging agarang tugon: hadlangan ang mga kahina-hinalang pinagmulan, ilagay sa kuwarentenas ang mga apektadong lugar, higpitan ang mga pinapayagang pattern ng pag-access, bawasan ang mga pahintulot at limitahan ang pagkakataon ng lateral na paggalaw habang nagpapatuloy ang imbestigasyon.

Daloy ng operasyon: mga levers ng pagpigil na naka-map sa iyong mga alerto

Gamitin TSplus Advanced Security bilang "mabilis na switch" na konektado sa mga pagtuklas sa gabay na ito:

• Kung tumaas ang pattern ng spray/brute-force, higpitan ang mga patakaran sa pag-access at itaas ang automated blocking upang pigilan ang mga paulit-ulit na pagtatangka.
• Kung may lumabas na unang beses na pribilehiyadong RDP logon mula sa isang bagong pinagmulan, limitahan ang mga pribilehiyadong daan ng pag-access sa mga kilalang pinagmulan ng admin hanggang sa ma-verify.
• Kung may nakitang fan-out na paggalaw, limitahan ang pinapayagang koneksyon upang mabawasan ang pagkalat habang inihihiwalay ang pivot endpoint.

Ang pamamaraang ito ay nakatuon sa pagtuklas muna, ngunit may tunay na proteksyon sa paligid nito upang hindi makapagpatuloy ang umaatake habang ikaw ay nagsisiyasat.

Konklusyon sa Pagpaplano ng Pagtuklas ng Ransomware

Ransomware ng Remote Desktop Protocol ay bihirang dumating nang walang babala. Ang pang-aabuso sa kredensyal, hindi pangkaraniwang mga pattern ng pag-login at mabilis na mga pagbabago pagkatapos ng pag-login ay kadalasang nakikita bago pa man magsimula ang pag-encrypt. Sa pamamagitan ng pagbuo ng batayan ng normal na aktibidad ng RDP at pag-alerto sa isang maliit na hanay ng mga mataas na signal na pag-uugali, ang mga IT team ay maaaring lumipat mula sa reaktibong paglilinis sa maagang pagpigil .

Ang pag-pair ng mga pagtuklas na iyon sa mga defend-first na kontrol, tulad ng pag-restrict ng mga access path at pag-disrupt ng mga brute-force na pagtatangkang may TSplus Advanced Security, ay nagpapababa ng oras ng pananatili ng mga umaatake at bumibili ng mga minutong mahalaga sa pag-iwas sa epekto ng ransomware.