Uzak Masaüstü Protokolü Ransomware: RDP liderliğindeki Saldırılara Karşı Tespit Mühendisliği

Neden Bir Uzaktan Masaüstü Protokolü Ransomware Yüksek Sinyal Tespit Rehberi?

Uzak Masaüstü Protokolü (RDP) fidye yazılımı olayları genellikle aynı şekilde başlar: kimlik bilgisi istismarı, başarılı bir etkileşimli oturum açma ve şifrelemeden önce sessiz yan hareket. Birçok ekip zaten temel bilgileri biliyor. RDP'yi güçlendirme ancak fidye yazılımı operatörleri, izleme çok gürültülü veya önceliklendirme çok yavaş olduğunda hala sızıyor.

Bu kılavuz, RDP liderliğindeki saldırılar için tespit mühendisliğine odaklanmaktadır: toplanması gereken minimum telemetri, alışkanlıkları temel alma, altı yüksek sinyal uyarı modelini belirleme ve şifrelemeden önce harekete geçmek için pratik bir triage iş akışı planlama.

RDP Ransomware: Tespit Neden Önemlidir?

Gerçekten gözlemleyebileceğiniz RDP'den fidye yazılımına zincir

RDP, çoğu Uzaktan Masaüstü Protokolü fidye yazılımı hikayesinde "sömürü" değildir. RDP, saldırganların kimlik bilgilerini elde ettikten sonra kullandıkları etkileşimli kanaldır ve ardından bu aynı kanalı sistemler arasında geçiş yapmak için yeniden kullanırlar. CISA'nın fidye yazılım gruplarıyla ilgili tavsiyeleri kullanılmış kimlik bilgileri ve RDP'nin ortamlardaki hareket için kullanımını sürekli olarak belgeleyin.

İyi haber şu ki, bu iş akışı, gelişmiş araçlar olmadan bile çoğu Windows ortamında gözlemlenebilen izler bırakıyor.

• kimlik doğrulama hataları ve başarıları,
• RDP ile tutarlı oturum açma türü desenleri,
• yeni bir oturum açtıktan sonra ani yetki değişiklikleri,
• yan hareket (yani. yayılma) davranışı,
• zamanlanmış görevler ve hizmetler gibi kalıcılık eylemleri.

Ön şifreleme tespiti pratikte nasıl görünür?

Ön şifreleme tespiti, her taramayı veya her başarısız şifre denemesini yakalamak anlamına gelmez. Önemli olan geçiş noktalarını güvenilir bir şekilde yakalamak anlamına gelir.

1. “ saldırganlar kimlik bilgilerini deniyor ”,
2. saldırganlar girdi
3. saldırganlar erişim alanını genişletiyor
4. “saldırganlar dağıtım yapmaya hazırlanıyorlar.”

Bu nedenle CISA'nın fidye yazılımı rehberliği, RDP gibi riskli uzaktan hizmetleri sınırlamanın önemini vurgulamakta ve RDP gerekli ise en iyi uygulamaların uygulanmasını önermektedir. Tespit ve yanıt, bir gecede yeniden tasarlayamayan ortamlarda en iyi uygulamaların bir parçasıdır.

RDP liderliğindeki Saldırı Tespiti için Minimum Geçerli Telemetri Nedir?

Windows Güvenlik günlüklerini toplamak

Olay günlüğü - başarılı ve başarısız oturum açma:

Tek bir şey yapıyorsanız, Windows Güvenliği olaylarını oturum açmalar için toplayın ve merkezileştirin:

• Olay Kimliği 4624: başarılı oturum açma
• Olay Kimliği 4625: başarısız oturum açma

RDP etkileşimli oturumlar genellikle "uzaktan etkileşimli" oturumlar olarak gösterilir (birçok ortamda yaygın olarak Logon Type 10), ayrıca Ağ Seviyesi Kimlik Doğrulama (NLA) etkinleştirildiğinde ilgili etkinlikleri de göreceksiniz, çünkü kimlik doğrulama daha erken gerçekleşir ve uç noktada ve etki alanı denetleyicisinde farklı şekilde kaydedilebilir.

NB: Eğer boşluklar görüyorsanız, kimlik bilgisi doğrulama ile ilgili etki alanı denetleyici olaylarını kontrol edin.

Her olaydan algılama mühendisliği için ne yakalanmalı:

• hedef ana bilgisayar (varış noktası),
• hesap adı ve alan adı,
• kaynak IP / iş istasyonu adı (varsa)
• oturum türü,
• kimlik doğrulama paketi / süreci (varsa),
• hata nedeni kodları (4625 için).

RDS ve Terminal Services günlükleri, bağlam ekler.

Güvenlik günlükleri size “kimin giriş yaptığını ve nereden giriş yaptığını” söyler. RDS ve Terminal Services günlükleri, “oturumun nasıl davrandığını” anlamanıza yardımcı olur, özellikle oturum ana bilgisayarları ile Remote Desktop Services ortamlarında.

Aşağıdaki günlüklerin toplanması, birden fazla oturumun dahil olduğu durumlarda önceliklendirmeyi hızlandırır:

• bağlantı/ayrılma olayları,
• oturum yeniden bağlanma desenleri,
• olağan dışı ana bilgisayarlarda oturum oluşturma artışları.

Eğer ortamınız tamamen "admin RDP ile sunucuya" ise, bu günlükler isteğe bağlıdır. Eğer RDS çiftlikleri çalıştırıyorsanız, buna değer.

Merkeziyetçilik ve saklama: "yeterli"nin neye benzediği

Merkeziyetsiz tespit, "uzaktan bir kutuya koy ve günlüklerin hala orada olmasını um" haline gelir. Günlükleri bir SIEM veya günlük platformuna merkezi hale getirmenin yanı sıra, yavaş saldırıları görebilmek için yeterli saklama süresi de sağla.

Ransomware araştırmaları için pratik bir minimum haftalarla ölçülür, günlerle değil, çünkü erişim aracılarının şifrelemeden çok önce erişim sağlaması mümkündür. Her şeyi saklayamıyorsanız, en azından kimlik doğrulama, ayrıcalık değişiklikleri, görev/hizmet oluşturma ve uç nokta koruma olaylarını saklayın.

Normal RDP'yi nasıl temel alabilirsiniz, böylece uyarılar yüksek sinyal haline gelir?

Kullanıcı, kaynak, ana bilgisayar, zaman ve sonuç tarafından temel düzey

Çoğu RDP uyarısı, temel oluşturma yapılmadığı için başarısız olur. Gerçek hayatta RDP'nin belirli kalıpları vardır, örneğin:

• belirli yönetici hesapları belirli atlama sunucuları kullanır,
• bakım pencereleri sırasında oturum açma işlemleri gerçekleşir,
• belirli sunucular asla etkileşimli oturum açma işlemlerini kabul etmemelidir,
• belirli kullanıcılar asla sunuculara kimlik doğrulaması yapmamalıdır.

Bu boyutları temel alın:

• kullanıcı → tipik ana bilgisayarlar,
• kullanıcı → tipik kaynak IP'ler / alt ağlar,
• kullanıcı → tipik oturum açma süreleri,
• host → tipik RDP kullanıcıları,
• sunucu → tipik kimlik doğrulama başarı oranı.

Sonra, yalnızca ham hacme dayalı olarak değil, o modelden sapmalar üzerinde tetiklenen uyarılar oluşturun.

Yönetici RDP'yi kullanıcı RDS oturumlarından ayırarak gürültüyü azaltın

Eğer son kullanıcılar için RDS çalıştırıyorsanız, "kullanıcı oturumu gürültüsü" ile "yönetici yolu riski"ni karıştırmayın. Ayrı temel değerler ve tespitler oluşturun:

• son kullanıcı oturumları oturum sunucularına (beklenen),
• altyapı sunucularına yönetici oturumları (daha yüksek risk),
• etki alanı denetleyicilerine yönetici oturumları (en yüksek risk, genellikle "asla" olmalıdır).

Bu ayrım, yeni araçlar eklemeden uyarıları anlamlı hale getirmenin en hızlı yollarından biridir.

Yüksek sinyal Tespit İşaretleri Fidye Yazılımı Öncülerini Yakalamak İçin

Buradaki amaç daha fazla tespit değil. Daha net olay önceliklendirmesi ile daha az tespittir.

Her bir tespit için aşağıdaki gibi başlayın: "Sadece güvenlik günlükleri", ardından EDR/Sysmon'a sahipseniz zenginleştirin.

Parola püskürtme vs kaba kuvvet: desen tabanlı tespit

Sinyal:

Birçok başarısız oturum açma, hesaplar arasında dağıtılmış (spray) veya tek bir hesapta yoğunlaşmış (brute force).

Önerilen mantık:

• Sprey: “>X hatalar bir kaynaktan >Y farklı kullanıcı adına Z dakikada.”
• Kaba kuvvet : “>X başarısızlıklar için bir kullanıcı adı, bir kaynaktan Z dakikada.”

Ayarlar:

• bilinen atlama ana bilgisayarlarını ve birçok meşru kullanıcının geldiği VPN çıkışlarını hariç tutun,
• gün saatine göre eşik ayarları yapın (mesai sonrası hatalar daha önemlidir),
• hizmet hesapları için gerçekten başarısız olanları ayarlayın (ama nedenini de doğrulayın).

Triage sonraki adımlar:

• kaynak IP itibarını doğrulayın ve bunun ortamınıza ait olup olmadığını kontrol edin,
• aynı kaynaktan kısa bir süre sonra herhangi bir başarılı oturum açma olup olmadığını kontrol et
• eğer alan katılmışsa, alan denetleyici doğrulama hatalarını da kontrol edin.

Ransomware önemi:

Parola püskürtme, klavye başında etkinlikten önce gelen yaygın bir "ilk erişim aracısı" tekniğidir.

Yeni bir kaynaktan ilk kez ayrıcalıklı RDP oturumu açma

Sinyal:

Daha önce görülmemiş bir kaynaktan RDP üzerinden başarılı bir şekilde oturum açan ayrıcalıklı bir hesap (Alan Yöneticileri, sunucu yöneticileri, yerel yönetici eşdeğerleri).

Önerilen mantık:

• "Son N günde temel geçmişte olmayan kaynak IP/iş istasyonu için ayrıcalıklı hesapta başarılı oturum açma."

Ayarlar:

• onaylı yönetici iş istasyonları / atlama ana bilgisayarları için bir izin listesi tutun,
• “ilk kez görülen” durumunu normal değişim pencereleri sırasında 02:00'da olduğundan farklı şekilde ele al.

Triage sonraki adımlar:

• kaynak uç noktasını doğrulayın: kurumsal olarak yönetiliyor mu, yamanmış mı ve bekleniyor mu?
• hesabın son zamanlarda şifre sıfırlamaları veya kilitlenmeleri olup olmadığını kontrol et
• oturum açtıktan sonra 15-30 dakika içinde ayrıcalık değişikliklerini, görev oluşturmayı veya hizmet oluşturmayı arayın.

Ransomware önemi:

Ransomware operatörleri genellikle savunmaları devre dışı bırakmak ve şifrelemeyi yaymak için ayrıcalıklı erişimi hızlı bir şekilde elde etmeye çalışır.

RDP fan-out: bir kaynağın birçok ana bilgisayara kimlik doğrulaması yapması

Sinyal:

Tek bir çalışma istasyonu veya IP bir kısa zaman diliminde birden fazla sunucuya başarılı bir şekilde kimlik doğrulaması yapar.

Önerilen mantık:

• “Başarıyla giriş yapılan >N farklı hedef sunucuya M dakikada bir kaynak.”

Ayarlar:

• bilinen yönetim araçlarını ve meşru bir şekilde birçok ana bilgisayara dokunan atlama sunucularını hariç tutun,
• yönetici hesapları ile yönetici olmayan hesaplar için ayrı eşikler oluşturun,
• mesai saatleri dışında eşikleri sıkılaştırın.

Triage sonraki adımlar:

• “pivot host” (kaynak) olarak tanımlayın,
• hesapların bu varış noktalarını yönetmesi beklenip beklenmediğini doğrulayın,
• kaynak uç noktada kimlik bilgisi toplama veya uzaktan araç yürütme belirtilerini arayın.

Ransomware önemi:

Yanal hareket, "bir ihlal edilmiş oturum açma"nın "alan genelinde şifreleme" haline nasıl geldiğidir.

RDP başarısı, ayrıcalık değişikliği veya yeni yönetici ile takip edilir.

Sinyal:

Başarılı bir oturum açtıktan kısa bir süre sonra, aynı ana bilgisayar, ayrıcalık yükseltmesi ile tutarlı kullanıcı veya grup değişikliklerini gösterir (yeni yerel yönetici, grup üyeliği eklemeleri).

Önerilen mantık:

• “Başarılı oturum açma → N dakika içinde: yeni yönetici grup üyeliği veya yeni yerel kullanıcı oluşturma.”

Ayarlar:

• bilinen sağlama pencerelerine izin verin, ancak istisnalar için değişiklik biletleri gerektirin,
• değişiklik yapıldığında özel dikkat gösterin nadiren yönetici görevleri yapan bir kullanıcı .

Triage sonraki adımlar:

• değişiklik hedefini doğrula (hangi hesaba yönetici yetkisi verildi),
• yeni hesabın hemen ardından ek oturumlar için kullanılıp kullanılmadığını kontrol et
• aktörün daha sonra fan-out hareketi yapıp yapmadığını kontrol et.

Ransomware önemi:

Ayrıcalık değişiklikleri, savunma kapatılması ve kitlesel dağıtım için yaygın bir öncü durumdur.

RDP başarı, planlanmış görev veya hizmet oluşturulmasını takip eder.

Sinyal:

Etkileşimli bir oturum, zamanlanmış görevler veya yeni hizmetler gibi kalıcılık veya dağıtım mekanizmalarıyla takip edilir.

Önerilen mantık:

• “Başarılı oturum açma → N dakika içinde: planlanmış görev oluşturuldu veya hizmet yüklendi/oluşturuldu.”

Ayarlar:

• bilinen yazılım dağıtım araçlarını hariç tutun,
• oturum açma hesabı ve ana bilgisayar rolü ile ilişkilendirin (etki alanı denetleyicileri ve dosya sunucuları son derece hassas olmalıdır).

Triage sonraki adımlar:

• komut satırını ve ikili yolu tanımlayın (EDR burada yardımcı olur),
• görev/hizmetin birden fazla uç noktayı hedefleyip hedeflemediğini kontrol et,
• şüpheli ikili dosyaları yayılmadan önce karantinaya al.

Ransomware önemi:

Planlanmış görevler ve hizmetler, yükleri sahneye koymanın ve ölçekli şifrelemeyi gerçekleştirmenin yaygın yollarıdır.

RDP (mevcut olduğunda) sonrasında savunma bozulma sinyalleri.

Sinyal:

Endpoint koruması devre dışı, müdahale korumaları tetikleniyor veya güvenlik araçları yeni bir uzaktan oturum açtıktan kısa bir süre sonra duruyor.

Önerilen mantık:

• “Yönetici tarafından RDP oturumu → N dakika içinde: güvenlik ürünü devre dışı bırakıldı olayı veya müdahale uyarısı.”

Ayarlar:

• sunuculardaki herhangi bir bozulmayı, iş istasyonlarından daha yüksek bir ciddiyetle ele alın.
• bakım pencerelerinin meşru araç değişikliklerini haklı çıkarıp çıkarmadığını doğrulayın.

Triage sonraki adımlar:

• hostu güvenli bir şekilde izole edin, eğer bunu yapabiliyorsanız,
• hesap oturumunu devre dışı bırak ve kimlik bilgilerini döndürün,
• diğer sunucularda aynı hesabı arayın.

Ransomware önemi:

Savunma bozulması, rastgele tarama değil, klavye başındaki operatör etkinliğinin güçlü bir göstergesidir.

RDP Öncesi Uyarı Aktif Olduğunda Kullanılacak Örnek Triage Kontrol Listesi

Bu hız için tasarlandı. Hareket etmeden önce kesin olmaya çalışmayın. Araştırırken patlama alanını azaltmak için önlemler alın.

10 dakikalık ön değerlendirme: kapsamı onaylayın ve tanımlayın

1. Uyarının gerçek olduğunu onaylayın kullanıcıyı, kaynağı, hedefi, zamanı ve oturum açma türünü (4624/4625 verileri) tanımla.
2. Kaynağın ağınıza, VPN çıkışınıza veya beklenen bir atlama ana bilgisayarına ait olup olmadığını kontrol edin.
3. Hesabın ayrıcalıklı olup olmadığını ve bu ana bilgisayarın etkileşimli oturum açmalarını kabul edip etmeyeceğini belirleyin.
4. Kaynağa odaklanın: kaç başarısızlık, kaç başarı, kaç varış noktası?

Sonuç: bunun "muhtemelen kötü niyetli", "şüpheli" veya "beklenen" olup olmadığına karar verin.

30 dakikalık sınırlama: erişimi durdur ve yayılmayı sınırla

Tam kesinlik gerektirmeyen sınırlama kolları:

• şüpheli hesap kimlik bilgilerini devre dışı bırakın veya sıfırlayın (özellikle ayrıcalıklı hesaplar),
• şüpheli kaynak IP'yi kenarda engelle (saldırganların döngü yapabileceğini anlayarak),
• geniş gruplardan RDP erişimini geçici olarak kaldırın (en az ayrıcalık uygulaması),
• kaynak uç noktasını izole edin eğer fan-out hareketinin merkezi gibi görünüyorsa.

CISA'nın rehberliği defalarca vurgulamaktadır RDP gibi uzaktan hizmetleri sınırlama ve gerektiğinde güçlü uygulamalar uygulamak, çünkü maruz kalmış veya zayıf kontrol edilen uzaktan erişim yaygın bir giriş yoludur.

60 dakikalık av genişlemesi: yan hareketi ve sahnelemeyi izleme

Şimdi saldırganın sahne kurmaya çalıştığını varsayalım.

• Aynı hesap için diğer sunucularda ek başarılı oturum açmalarını arayın.
• Hızlı ayrıcalık değişikliklerini, yeni yönetici oluşturulmasını ve ilk hedef ana bilgisayarda görev/hizmet oluşturulmasını kontrol edin.
• Dosya sunucularını ve sanallaştırma ana bilgisayarlarını anormal oturum açmalar için kontrol edin (bunlar fidye yazılımı "etki çarpanlarıdır").
• Yedeklemeleri ve kurtarma hazırlığını doğrulayın, ancak sahnelemenin durduğundan emin olmadan geri yüklemeleri başlatmayın.

TSplus Advanced Security Nerede Yer Alıyor?

RDP kaynaklı fidye yazılımı olasılığını azaltmak için savunma öncelikli kontroller

RDP ve uygulama sunucuları için yapıldı

Tespit kritik öneme sahiptir, ancak Remote Desktop Protocol fidye yazılımları genellikle başarılı olur çünkü saldırganlar kimlik bilgilerini tekrar tekrar deneyebilirler, bir şey işe yarayana kadar, sonra içeri girdiklerinde hareket etmeye devam ederler. TSplus Advanced Security bir savunma-ilk katman ransomware'dan önceki yaygın RDP saldırı yollarını aktif olarak kısıtlayarak ve kesintiye uğratarak bu olasılığı azaltmak için tasarlanmıştır.

TSplus yazılım paketi - yerleşik tamamlayıcılık

TSplus Remote Access'ın ayrıntılı kullanıcı ve grup kısıtlamaları ve ayarları ile tamamlayıcılığı sayesinde, uygulama sunucularınıza yönelik saldırı girişimlerine karşı sağlam savunmalar sağlar.

Her yönüyle güvenlik, boşluk bırakmadan

Pratikte, kimlik doğrulama yüzeyini küçültmek ve otomatik kimlik bilgisi kötüye kullanma kalıplarını kırmak önemlidir. Bağlanabilecek kişileri, nereden ve hangi koşullar altında bağlanabileceklerini sınırlamaya katılarak, standart davranışları öğrenerek ve brute-force ile spray etkinliğini azaltmak için koruyucu kontroller uygulayarak, Advanced Security sağlam engeller sağlar. Bu, standart RDP hijyenini tamamlar, onu değiştirmez ve şanslı bir kimlik bilgisinin etkileşimli bir ayak başı haline gelmesini önleyerek zaman kazandırır.

Algılama mühendisliği çarpanı: daha iyi sinyal, daha hızlı yanıt

Defans öncelikli kontroller aynı zamanda tespit kalitesini de artırır. İnternet ölçeğindeki brute force gürültüsü azaltıldığında, temel seviyeler daha hızlı stabilize olur ve eşikler daha sıkı hale getirilebilir. Uyarılar daha eyleme geçirilebilir hale gelir çünkü daha az olay arka plan gürültüsüne neden olur.

Bir olayda, hız her seviyede önemlidir. Politika odaklı kısıtlamalar, hemen yanıt verme araçları haline gelir: şüpheli kaynakları engellemek, etkilenen alanları karantinaya almak, izin verilen erişim kalıplarını sıkılaştırmak, yetkilendirmeleri azaltmak ve soruşturma devam ederken yan hareket fırsatlarını kısıtlamak.

Operasyonel iş akışı: uyarılarınıza haritalanmış sınırlama kolları

Kullanım TSplus Gelişmiş Güvenlik “hızlı anahtarlar” bu kılavuzdaki tespitlerle bağlantılıdır:

• Eğer bir sprey/brute-force deseni artarsa, erişim kurallarını sıkılaştırın ve tekrar eden denemeleri durdurmak için otomatik engellemeyi artırın.
• Eğer yeni bir kaynaktan ilk kez ayrıcalıklı RDP oturumu açılırsa, doğrulanana kadar ayrıcalıklı erişim yollarını bilinen yönetici kaynaklarıyla sınırlayın.
• Eğer fan-out hareketi tespit edilirse, yayılmayı azaltmak için izin verilen bağlantıları kısıtlayın ve aynı zamanda pivot uç noktasını izole edin.

Bu yaklaşım, öncelikle tespit etmeye odaklanır, ancak etrafında gerçek koruma gücü ile birlikte, böylece saldırgan araştırma yaparken denemeye devam edemez.

Ransomware Tespiti Planlaması Üzerine Sonuç

Uzaktan Masaüstü Protokolü fidye yazılımı nadiren uyarı olmadan gelir. Kimlik bilgisi suistimali, olağandışı oturum açma kalıpları ve hızlı oturum açma sonrası değişiklikler genellikle şifreleme başlamadan çok önce görünür. Normal RDP etkinliğini temel alarak ve yüksek sinyal davranışlarının küçük bir kümesi üzerinde uyarılar vererek, BT ekipleri reaktif temizlikten proaktif önlem almaya geçebilir. erken containment .

Bu tespitleri, erişim yollarını kısıtlama ve TSplus Advanced Security ile brute-force girişimlerini engelleme gibi savunma öncelikli kontrollerle eşleştirmek, saldırganın kalma süresini azaltır ve fidye yazılımı etkisini önlemede önemli olan dakikaları kazandırır.