Giao thức Desktop từ xa Ransomware: Kỹ thuật phát hiện đối phó với các cuộc xâm nhập do RDP dẫn dắt

Tại sao cần một hướng dẫn phát hiện ransomware tín hiệu cao cho Giao thức Desktop từ xa?

Giao thức Remote Desktop (RDP) các sự cố ransomware thường bắt đầu theo cùng một cách: lạm dụng thông tin xác thực, một lần đăng nhập tương tác thành công và di chuyển ngang lén lút trước khi mã hóa. Nhiều đội ngũ đã biết những điều cơ bản về củng cố RDP nhưng các nhà điều hành ransomware vẫn lọt qua khi việc giám sát quá ồn ào hoặc phân loại quá chậm.

Hướng dẫn này tập trung vào kỹ thuật phát hiện cho các cuộc xâm nhập dẫn dắt bởi RDP: telemetry tối thiểu cần thu thập, cách thiết lập thói quen cơ bản, xác định sáu mẫu cảnh báo có tín hiệu cao và lập kế hoạch quy trình phân loại thực tế để hành động trước khi mã hóa.

RDP Ransomware: Tại sao việc phát hiện lại quan trọng?

Chuỗi RDP đến ransomware mà bạn có thể thực sự quan sát

RDP không phải là "lỗ hổng" trong hầu hết các câu chuyện ransomware liên quan đến Giao thức Desktop Từ xa. RDP là kênh tương tác mà kẻ tấn công sử dụng sau khi họ có được thông tin xác thực, sau đó tái sử dụng kênh đó để di chuyển giữa các hệ thống. CISA cảnh báo về các nhóm ransomware tài liệu lặp đi lặp lại việc sử dụng thông tin đăng nhập bị xâm phạm và RDP để di chuyển bên trong các môi trường.

Tin tốt là quy trình làm việc này để lại dấu vết có thể quan sát được trong hầu hết các môi trường Windows, ngay cả khi không có công cụ nâng cao:

• thất bại và thành công xác thực,
• mẫu loại đăng nhập nhất quán với RDP,
• thay đổi quyền đột ngột sau khi đăng nhập mới,
• hành vi di chuyển bên (còn gọi là fan-out)
• các hành động duy trì như tác vụ và dịch vụ theo lịch.

Phát hiện trước mã hóa trông như thế nào trong thực tế?

Phát hiện trước khi mã hóa không có nghĩa là bắt mọi quét hoặc mọi lần thử mật khẩu không thành công. Nó có nghĩa là bắt được một cách đáng tin cậy các điểm chuyển tiếp quan trọng.

1. “ kẻ tấn công đang cố gắng lấy thông tin đăng nhập ”,
2. “kẻ tấn công đã xâm nhập”
3. “kẻ tấn công đang mở rộng phạm vi”
4. “kẻ tấn công đang chuẩn bị triển khai”.

Đó cũng là lý do tại sao hướng dẫn về ransomware của CISA nhấn mạnh việc hạn chế các dịch vụ từ xa rủi ro như RDP và áp dụng các phương pháp tốt nhất nếu RDP là cần thiết. Phát hiện và phản ứng là một phần của thực tế các phương pháp tốt nhất trong các môi trường không thể thiết kế lại qua đêm.

Những gì cấu thành telemetry tối thiểu khả thi cho phát hiện xâm nhập dẫn dắt bởi RDP?

Nhật ký bảo mật Windows để thu thập

Ghi log sự kiện - đăng nhập thành công và thất bại:

Nếu bạn chỉ làm một việc, hãy thu thập và tập trung các sự kiện bảo mật Windows cho các lần đăng nhập:

• Mã sự kiện 4624: đăng nhập thành công
• Mã sự kiện 4625: đăng nhập không thành công

Các phiên tương tác RDP thường hiển thị dưới dạng "đăng nhập tương tác từ xa" (thường là Loại Đăng Nhập 10 trong nhiều môi trường), và bạn cũng sẽ thấy các hoạt động liên quan khi Xác Thực Cấp Mạng (NLA) được kích hoạt, vì xác thực diễn ra sớm hơn và có thể được ghi lại khác nhau trên thiết bị đầu cuối và bộ điều khiển miền.

NB: Nếu bạn thấy khoảng trống, hãy kiểm tra các sự kiện của bộ điều khiển miền liên quan đến việc xác thực thông tin đăng nhập.

Những gì cần ghi lại từ mỗi sự kiện cho kỹ thuật phát hiện:

• máy chủ mục tiêu (điểm đến),
• tên tài khoản và miền
• địa chỉ IP nguồn / tên máy trạm (khi có)
• loại đăng nhập,
• gói xác thực / quy trình (khi có mặt),
• mã lý do thất bại (cho 4625).

RDS và nhật ký TerminalServices cung cấp ngữ cảnh

Nhật ký bảo mật cho bạn biết “ai đã đăng nhập và từ đâu”. Nhật ký RDS và TerminalServices giúp cho bạn biết “phiên làm việc đã hoạt động như thế nào”, đặc biệt trong các môi trường Dịch vụ Máy tính từ xa với các máy chủ phiên.

Việc thu thập các nhật ký sau đây giúp quá trình phân loại nhanh hơn khi có nhiều phiên làm việc liên quan:

• sự kiện kết nối/ngắt kết nối,
• mô hình kết nối lại phiên
• tăng đột biến trong việc tạo phiên trên các máy chủ không bình thường.

Nếu môi trường của bạn chỉ là “admin RDP vào máy chủ”, các nhật ký này là tùy chọn. Nếu bạn chạy các farm RDS, chúng rất đáng giá.

Tập trung và giữ lại: cái gì là "đủ"

Phát hiện không có sự tập trung biến thành "đưa từ xa vào một hộp và hy vọng rằng các nhật ký vẫn còn đó". Tập trung các nhật ký vào một SIEM hoặc nền tảng nhật ký cũng như giữ đủ thời gian lưu trữ để thấy các cuộc xâm nhập chậm.

Một mức tối thiểu thực tế cho các cuộc điều tra ransomware được đo bằng tuần, không phải bằng ngày, vì các nhà môi giới truy cập có thể thiết lập quyền truy cập từ lâu trước khi mã hóa. Nếu bạn không thể giữ lại mọi thứ, hãy giữ lại ít nhất xác thực, thay đổi quyền, tạo tác vụ/dịch vụ và các sự kiện bảo vệ điểm cuối.

Làm thế nào để bạn thiết lập RDP bình thường để cảnh báo trở thành tín hiệu cao?

Cơ sở dữ liệu theo người dùng, nguồn, máy chủ, thời gian và kết quả

Hầu hết các cảnh báo RDP đều thất bại vì không có việc thiết lập cơ sở. RDP trong thực tế có các mẫu, chẳng hạn như:

• các tài khoản quản trị cụ thể sử dụng các máy chủ nhảy cụ thể,
• đăng nhập xảy ra trong thời gian bảo trì,
• các máy chủ nhất định không bao giờ nên chấp nhận đăng nhập tương tác,
• các người dùng nhất định không nên xác thực vào máy chủ.

Căn cứ vào các kích thước này:

• người dùng → máy chủ điển hình,
• người dùng → địa chỉ IP / subnet nguồn điển hình,
• thời gian đăng nhập điển hình,
• host → người dùng RDP điển hình,
• tỷ lệ thành công xác thực điển hình.

Sau đó, xây dựng các cảnh báo được kích hoạt khi có sự sai lệch so với mô hình đó, chứ không chỉ dựa vào khối lượng thô.

Tách RDP quản trị viên khỏi phiên RDS người dùng để giảm tiếng ồn

Nếu bạn chạy RDS cho người dùng cuối, đừng trộn "tiếng ồn phiên người dùng" với "rủi ro đường dẫn quản trị". Tạo các cơ sở dữ liệu và phát hiện riêng biệt cho:

• phiên người dùng đến máy chủ phiên (dự kiến),
• phiên quản trị đến máy chủ hạ tầng (rủi ro cao),
• phiên quản trị đến các bộ điều khiển miền (rủi ro cao nhất, thường nên là "không bao giờ").

Sự tách biệt này là một trong những cách nhanh nhất để làm cho các cảnh báo có ý nghĩa mà không cần thêm công cụ mới.

Các dấu hiệu phát hiện tín hiệu cao để bắt giữ các tiền thân của ransomware

Mục tiêu ở đây không phải là nhiều phát hiện hơn. Mà là ít phát hiện hơn với việc phân loại sự kiện rõ ràng hơn.

Chỉ ghi lại nhật ký bảo mật cho mỗi phát hiện bên dưới, sau đó làm phong phú thêm nếu bạn có EDR/Sysmon.

Phun mật khẩu so với tấn công brute force: phát hiện dựa trên mẫu

Tín hiệu:

Nhiều lần đăng nhập không thành công phân tán trên nhiều tài khoản (phun) hoặc tập trung vào một tài khoản (tấn công brute force).

Logic đề xuất:

• Xịt: “>X thất bại từ một nguồn đến >Y tên người dùng khác nhau trong Z phút”.
• Tấn công brute force : “>X thất bại cho một tên người dùng từ một nguồn trong Z phút”.

Tuning:

• loại trừ các máy chủ nhảy đã biết và điểm ra VPN nơi nhiều người dùng hợp pháp xuất phát.
• điều chỉnh ngưỡng theo thời gian trong ngày (các sự cố ngoài giờ quan trọng hơn),
• tinh chỉnh cho các tài khoản dịch vụ mà thực sự thất bại (nhưng cũng xác minh lý do tại sao).

Các bước tiếp theo:

• xác nhận danh tiếng IP nguồn và liệu nó có thuộc về môi trường của bạn không,
• kiểm tra xem có bất kỳ lần đăng nhập thành công nào cho cùng một nguồn ngay sau đó không,
• nếu đã tham gia miền, hãy kiểm tra cả các lỗi xác thực bộ điều khiển miền.

Mối liên quan của Ransomware:

Tấn công password spraying là một kỹ thuật "nhà môi giới truy cập ban đầu" phổ biến mà diễn ra trước khi có hoạt động thực tế trên bàn phím.

Đăng nhập RDP có đặc quyền lần đầu từ một nguồn mới

Tín hiệu:

Một tài khoản đặc quyền (Domain Admins, quản trị viên máy chủ, các tương đương quản trị viên cục bộ) đã đăng nhập thành công qua RDP từ một nguồn chưa từng được thấy trước đây.

Logic đề xuất:

• “Đăng nhập thành công cho tài khoản đặc quyền mà địa chỉ IP/điểm làm việc nguồn không nằm trong lịch sử cơ sở trong N ngày qua.”

Tuning:

• duy trì một danh sách cho phép các máy trạm quản trị viên / máy nhảy đã được phê duyệt,
• đối xử với “lần đầu tiên thấy” trong các khoảng thời gian thay đổi bình thường khác với lúc 02:00.

Các bước tiếp theo:

• xác thực điểm cuối nguồn: nó có được quản lý bởi công ty, đã được vá và mong đợi không?
• kiểm tra xem tài khoản có đặt lại mật khẩu gần đây hoặc bị khóa không,
• tìm kiếm các thay đổi quyền, tạo tác vụ hoặc tạo dịch vụ trong vòng 15–30 phút sau khi đăng nhập.

Mối liên quan của Ransomware:

Các nhà điều hành ransomware thường tìm kiếm quyền truy cập đặc quyền nhanh chóng để vô hiệu hóa các biện pháp phòng thủ và đẩy mạnh mã hóa một cách rộng rãi.

RDP fan-out: một nguồn xác thực đến nhiều máy chủ

Tín hiệu:

Một cái duy nhất máy trạm hoặc IP xác thực thành công đến nhiều máy chủ trong một khoảng thời gian ngắn.

Logic đề xuất:

• “Một nguồn với các đăng nhập thành công đến >N máy chủ đích khác nhau trong M phút.”

Tuning:

• loại trừ các công cụ quản lý đã biết và các máy chủ nhảy mà hợp pháp chạm vào nhiều máy chủ,
• tạo ngưỡng riêng cho tài khoản quản trị so với tài khoản không phải quản trị,
• thắt chặt ngưỡng ngoài giờ.

Các bước tiếp theo:

• xác định “máy chủ pivot” (nguồn),
• xác minh xem tài khoản có dự kiến quản lý những điểm đến đó không,
• tìm kiếm dấu hiệu của việc thu thập thông tin xác thực hoặc thực thi công cụ từ xa trên điểm cuối nguồn.

Mối liên quan của Ransomware:

Di chuyển ngang là cách mà “một đăng nhập bị xâm phạm” trở thành “mã hóa toàn miền”.

RDP thành công theo sau là thay đổi quyền hoặc quản trị viên mới

Tín hiệu:

Ngay sau khi đăng nhập thành công, cùng một máy chủ hiển thị các thay đổi người dùng hoặc nhóm nhất quán với việc nâng cao quyền hạn (quản trị viên cục bộ mới, bổ sung thành viên nhóm).

Logic đề xuất:

• “Đăng nhập thành công → trong vòng N phút: thành viên nhóm quản trị mới hoặc tạo người dùng cục bộ mới.”

Tuning:

• cho phép các khoảng thời gian cung cấp đã biết, nhưng yêu cầu vé thay đổi cho các trường hợp ngoại lệ,
• chú ý đặc biệt khi thay đổi được thực hiện bởi một người dùng hiếm khi thực hiện các tác vụ quản trị .

Các bước tiếp theo:

• xác thực mục tiêu thay đổi (tài khoản nào được cấp quyền quản trị),
• kiểm tra xem tài khoản mới có được sử dụng cho các lần đăng nhập bổ sung ngay lập tức sau đó không,
• kiểm tra xem diễn viên sau đó có thực hiện động tác fan-out hay không.

Mối liên quan của Ransomware:

Thay đổi quyền truy cập là một dấu hiệu phổ biến trước khi tắt phòng thủ và triển khai hàng loạt.

RDP thành công theo sau là việc tạo tác vụ hoặc dịch vụ đã lên lịch

Tín hiệu:

Một phiên tương tác được theo sau bởi các cơ chế duy trì hoặc triển khai như các tác vụ theo lịch hoặc các dịch vụ mới.

Logic đề xuất:

• “Đăng nhập thành công → trong vòng N phút: tác vụ đã lên lịch được tạo hoặc dịch vụ được cài đặt/tạo.”

Tuning:

• loại trừ các công cụ triển khai phần mềm đã biết,
• liên quan đến tài khoản đăng nhập và vai trò máy chủ (các bộ điều khiển miền và máy chủ tệp nên rất nhạy cảm).

Các bước tiếp theo:

• xác định dòng lệnh và đường dẫn nhị phân (EDR giúp ở đây),
• kiểm tra xem nhiệm vụ/dịch vụ có nhắm đến nhiều điểm cuối hay không,
• cách ly các tệp nhị phân nghi ngờ trước khi chúng lây lan.

Mối liên quan của Ransomware:

Các tác vụ và dịch vụ đã lên lịch là những cách phổ biến để triển khai tải trọng và thực hiện mã hóa quy mô lớn.

Tín hiệu suy giảm bảo vệ ngay sau RDP (khi có sẵn)

Tín hiệu:

Bảo vệ điểm cuối bị vô hiệu hóa, các biện pháp bảo vệ bị can thiệp kích hoạt, hoặc công cụ bảo mật dừng hoạt động ngay sau khi có một đăng nhập từ xa mới.

Logic đề xuất:

• “Đăng nhập RDP bởi quản trị viên → trong vòng N phút: sự kiện sản phẩm bảo mật bị vô hiệu hóa hoặc cảnh báo can thiệp.”

Tuning:

• đối xử với bất kỳ sự cố nào trên máy chủ là nghiêm trọng hơn so với máy trạm,
• xác minh xem các khoảng thời gian bảo trì có biện minh cho những thay đổi công cụ hợp pháp hay không.

Các bước tiếp theo:

• cô lập máy chủ nếu bạn có thể làm như vậy một cách an toàn,
• vô hiệu hóa phiên tài khoản và xoay vòng thông tin đăng nhập,
• tìm kiếm tài khoản giống nhau trên các máy chủ khác.

Mối liên quan của Ransomware:

Sự suy giảm phòng thủ là một chỉ số mạnh mẽ về hoạt động của người điều khiển trên bàn phím, không phải quét ngẫu nhiên.

Danh sách kiểm tra phân loại ví dụ cho khi có cảnh báo tiền thân RDP được kích hoạt

Điều này được thiết kế để nhanh chóng. Đừng cố gắng chắc chắn trước khi hành động. Hãy thực hiện các hành động để giảm bán kính vụ nổ khi bạn điều tra.

10 phút phân loại: xác nhận và xác định phạm vi

1. Xác nhận cảnh báo là thật xác định người dùng, nguồn, đích, thời gian và loại đăng nhập (dữ liệu 4624/4625).
2. Kiểm tra xem nguồn có thuộc mạng của bạn, VPN egress hoặc một máy chủ nhảy mong đợi không.
3. Xác định xem tài khoản có đặc quyền hay không và liệu máy chủ này có nên chấp nhận đăng nhập tương tác hay không.
4. Pivot trên nguồn: có bao nhiêu thất bại, có bao nhiêu thành công, có bao nhiêu điểm đến?

Kết quả: quyết định xem điều này có "có khả năng độc hại", "đáng ngờ" hay "được mong đợi".

30 phút ngăn chặn: dừng truy cập và hạn chế lây lan

Các công cụ kiềm chế không yêu cầu sự chắc chắn hoàn toàn:

• vô hiệu hóa hoặc đặt lại thông tin đăng nhập của tài khoản nghi ngờ (đặc biệt là các tài khoản có quyền hạn),
• chặn địa chỉ IP nguồn nghi ngờ ở rìa (hiểu rằng kẻ tấn công có thể thay đổi)
• tạm thời xóa quyền truy cập RDP từ các nhóm rộng (thực thi quyền tối thiểu),
• tách biệt điểm cuối nguồn nếu nó có vẻ là trung tâm cho sự di chuyển phân tán.

Hướng dẫn của CISA nhấn mạnh nhiều lần giới hạn các dịch vụ từ xa như RDP và áp dụng các biện pháp mạnh mẽ khi cần thiết, vì việc truy cập từ xa bị lộ hoặc kiểm soát yếu là một con đường xâm nhập phổ biến.

Mở rộng săn 60 phút: theo dõi chuyển động bên và chuẩn bị

Bây giờ giả sử kẻ tấn công đang cố gắng chuẩn bị.

• Tìm kiếm các đăng nhập thành công bổ sung cho cùng một tài khoản trên các máy chủ khác.
• Tìm kiếm các thay đổi quyền nhanh chóng, việc tạo quản trị viên mới và việc tạo tác vụ/dịch vụ trên máy chủ đích đầu tiên.
• Kiểm tra các máy chủ tệp và máy chủ ảo hóa để phát hiện các đăng nhập bất thường (đây là "nhân tố tác động" của ransomware).
• Xác minh sao lưu và sự sẵn sàng phục hồi, nhưng không bắt đầu khôi phục cho đến khi bạn tự tin rằng việc chuẩn bị đã dừng lại.

TSplus Advanced Security phù hợp ở đâu?

Kiểm soát ưu tiên bảo vệ để giảm xác suất ransomware do RDP dẫn đầu

Được tạo ra cho RDP và cho các máy chủ ứng dụng

Phát hiện là rất quan trọng, nhưng ransomware giao thức Remote Desktop thường thành công vì kẻ tấn công có thể thử lại thông tin đăng nhập cho đến khi có thứ gì đó hoạt động, sau đó tiếp tục di chuyển khi họ đã vào. TSplus Advanced Security là một lớp phòng thủ đầu tiên được thiết kế để giảm xác suất đó bằng cách chủ động hạn chế và làm gián đoạn các con đường tấn công RDP phổ biến mà dẫn đến ransomware.

Bộ phần mềm TSplus - tính năng bổ sung tích hợp sẵn

Do tính bổ sung của nó với các hạn chế và cài đặt người dùng và nhóm chi tiết của TSplus Remote Access, nó cung cấp các biện pháp phòng thủ vững chắc chống lại các nỗ lực tấn công vào các máy chủ ứng dụng của bạn.

Bảo mật toàn diện để không bỏ sót bất kỳ lỗ hổng nào

Thực tế, thu hẹp bề mặt xác thực và phá vỡ các mẫu lạm dụng thông tin đăng nhập tự động là rất quan trọng. Bằng cách tham gia vào việc giới hạn ai có thể kết nối, từ đâu và trong những điều kiện nào, cũng như học hỏi các hành vi tiêu chuẩn và áp dụng các biện pháp bảo vệ để giảm hiệu quả của tấn công brute-force và spray, Advanced Security cung cấp các rào cản vững chắc. Điều này bổ sung cho vệ sinh RDP tiêu chuẩn mà không thay thế nó và giúp mua thời gian bằng cách ngăn chặn một thông tin đăng nhập may mắn trở thành một điểm truy cập tương tác.

Bộ nhân kỹ thuật phát hiện: tín hiệu tốt hơn, phản hồi nhanh hơn

Các biện pháp kiểm soát ưu tiên bảo vệ cũng cải thiện chất lượng phát hiện. Khi tiếng ồn tấn công brute force quy mô internet được giảm bớt, các mức cơ bản ổn định nhanh hơn và ngưỡng có thể chặt chẽ hơn. Các cảnh báo trở nên có thể hành động hơn vì ít sự kiện hơn gây ra bức xạ nền.

Trong một sự cố, tốc độ quan trọng ở mọi cấp độ. Các hạn chế dựa trên chính sách trở thành các công cụ phản ứng ngay lập tức: chặn các nguồn đáng ngờ, cách ly các khu vực bị ảnh hưởng, thắt chặt các mẫu truy cập được phép, giảm quyền hạn và hạn chế cơ hội di chuyển ngang trong khi cuộc điều tra diễn ra.

Quy trình hoạt động: các công cụ kiểm soát được ánh xạ đến các cảnh báo của bạn

Sử dụng TSplus Advanced Security như "công tắc nhanh" liên quan đến các phát hiện trong hướng dẫn này:

• Nếu một mẫu xịt/đột nhập tăng vọt, hãy thắt chặt quy tắc truy cập và nâng cao việc chặn tự động để ngăn chặn các nỗ lực lặp lại.
• Nếu một lần đăng nhập RDP có đặc quyền lần đầu tiên xuất hiện từ một nguồn mới, hãy hạn chế các đường dẫn truy cập có đặc quyền đến các nguồn quản trị viên đã biết cho đến khi được xác minh.
• Nếu phát hiện chuyển động fan-out, hạn chế các kết nối cho phép để giảm sự lây lan trong khi cô lập điểm cuối pivot.

Cách tiếp cận này tập trung vào việc phát hiện trước, nhưng với sức mạnh bảo vệ thực sự xung quanh nó để kẻ tấn công không thể tiếp tục thử nghiệm trong khi bạn điều tra.

Kết luận về Kế hoạch Phát hiện Ransomware

Ransomware giao thức Remote Desktop hiếm khi đến mà không có cảnh báo. Lạm dụng thông tin xác thực, các mẫu đăng nhập bất thường và những thay đổi nhanh chóng sau khi đăng nhập thường có thể thấy rõ trước khi quá trình mã hóa bắt đầu. Bằng cách thiết lập hoạt động RDP bình thường và cảnh báo về một tập hợp nhỏ các hành vi có tín hiệu cao, các nhóm CNTT có thể chuyển từ việc dọn dẹp phản ứng sang kiểm soát sớm .

Kết hợp những phát hiện đó với các biện pháp kiểm soát ưu tiên phòng thủ, chẳng hạn như hạn chế các đường dẫn truy cập và làm gián đoạn các nỗ lực tấn công brute-force bằng TSplus Advanced Security, giảm thời gian kẻ tấn công lưu lại và mua được những phút quan trọng khi ngăn chặn tác động của ransomware.