远程桌面协议勒索软件：检测工程应对RDP主导的入侵

为什么需要远程桌面协议勒索软件高信号检测指南？

远程桌面协议（RDP）勒索软件事件通常以相同的方式开始：凭证滥用、成功的交互式登录和在加密之前的静默横向移动。许多团队已经了解了基本知识。 强化 RDP 但当监控过于嘈杂或分类过慢时，勒索软件运营商仍然会溜过。

本指南专注于针对RDP主导的入侵进行检测工程：收集的最低遥测数据、如何基准习惯、确定六种高信号警报模式，并规划一个实用的分流工作流程，以便在加密之前采取行动。

RDP 勒索软件：为什么检测很重要？

您可以实际观察到的RDP到勒索软件的链条

RDP并不是大多数远程桌面协议勒索软件故事中的“漏洞”。RDP是攻击者在获取凭据后使用的交互通道，然后利用同一通道在系统之间移动。 CISA关于勒索软件团伙的建议 反复记录在环境内部使用被泄露的凭据和RDP进行移动的情况。

好消息是，这个工作流程留下的痕迹在大多数Windows环境中都是可观察的，即使没有高级工具。

• 身份验证失败和成功，
• 与RDP一致的登录类型模式，
• 新登录后的突然权限变更，
• 横向移动（即扇出）行为，
• 持久性操作，如计划任务和服务。

预加密检测在实践中是什么样的？

预加密检测并不意味着捕捉到每一次扫描或每一次失败的密码尝试。它意味着可靠地捕捉到重要的过渡点：

1. “ 攻击者正在尝试凭据 ”,
2. “攻击者进入了”
3. 攻击者正在扩大影响范围
4. “攻击者正在准备部署。”

这也是为什么CISA的勒索软件指南强调限制像RDP这样的高风险远程服务，并在RDP必要时应用最佳实践。检测和响应是无法在一夜之间重新设计的环境中最佳实践现实的一部分。

什么构成RDP主导的入侵检测的最小可行遥测？

Windows安全日志收集

事件日志 - 成功和失败的登录：

如果您只做一件事，请收集并集中Windows安全事件以进行登录：

• 事件 ID 4624： 成功登录
• 事件 ID 4625：登录失败

RDP交互式会话通常显示为“远程交互”登录（在许多环境中通常为登录类型10），当启用网络级身份验证（NLA）时，您还会看到相关活动，因为身份验证发生得更早，并且可能在终端和域控制器上以不同方式记录。

注意: 如果您看到空白，请检查与凭据验证相关的域控制器事件。

从每个事件中捕获什么以进行检测工程：

• 目标主机（目的地），
• 账户名称和域名，
• 源 IP / 工作站名称（如有）
• 登录类型，
• 身份验证包/过程（如适用）
• 失败原因代码（用于 4625）。

RDS和TerminalServices日志提供上下文

安全日志告诉您“谁登录以及从哪里登录”。RDS和TerminalServices日志有助于告诉您“会话的行为如何”，特别是在具有会话主机的远程桌面服务环境中。

收集以下日志可以在涉及多个会话时加快分类速度：

• 连接/断开事件，
• 会话重新连接模式，
• 在不寻常的主机上会话创建的峰值。

如果您的环境是纯粹的“管理员通过 RDP 进入服务器”，这些日志是可选的。如果您运行 RDS 农场，它们是值得的。

集中化和保留：“足够”是什么样的

检测没有集中化变成了“远程进入一个盒子，希望日志仍然在那里”。将日志集中到SIEM或日志平台，并保持足够的保留时间以查看缓慢的入侵。

进行勒索软件调查的实际最短时间以周为单位，而不是以天为单位，因为访问中介可能在加密之前就已建立访问权限。如果您无法保留所有内容，请至少保留身份验证、权限更改、任务/服务创建和端点保护事件。

如何将正常的 RDP 作为基准，以便警报变得高信号？

用户、来源、主机、时间和结果的基线

大多数RDP警报失败是因为没有基线。现实生活中的RDP有模式，例如：

• 特定管理员账户使用特定跳转主机，
• 在维护窗口期间发生登录。
• 某些服务器永远不应接受交互式登录。
• 某些用户绝不应对服务器进行身份验证。

基准这些维度：

• 用户 → 典型主机，
• 用户 → 典型源 IP / 子网，
• 用户 → 典型登录时间，
• 主机 → 典型的 RDP 用户，
• 主机 → 典型身份验证成功率。

然后建立在偏离该模型时触发的警报，而不仅仅是基于原始量。

将管理员RDP与用户RDS会话分开以减少噪音

如果您为最终用户运行RDS，请不要将“用户会话噪声”与“管理员路径风险”混合。为以下内容创建单独的基线和检测：

• 终端用户会话到会话主机（预期），
• 管理会话到基础设施服务器（风险更高），
• 管理员会话到域控制器（最高风险，通常应该是“从不”）。

这种分离是使警报有意义而不增加新工具的最快方法之一。

高信号检测标记以捕捉勒索软件前兆

这里的目标不是更多的检测，而是更少的检测和更清晰的事件分类。

对于下面的每个检测，首先以“仅安全日志”开头，然后在您拥有EDR/Sysmon的情况下进行丰富。

密码喷洒与暴力破解：基于模式的检测

信号：

许多失败的登录尝试分布在多个账户上（喷洒）或集中在一个账户上（暴力破解）。

建议逻辑：

• 喷雾： “>X 次失败从一个来源到 >Y 个不同的用户名在 Z 分钟内。”
• 暴力破解 : “>X个失败来自一个来源的一个用户名在Z分钟内。”

调优：

• 排除已知的跳转主机和许多合法用户来源的VPN出口，
• 根据一天中的时间调整阈值（非工作时间的故障更重要），
• 为合法失败的服务帐户进行调整（但也要验证原因）。

分诊下一步：

• 确认源IP声誉及其是否属于您的环境，
• 检查是否在短时间内有相同来源的成功登录。
• 如果已加入域，请检查域控制器验证失败情况。

勒索软件相关性：

密码喷洒是一种常见的“初始访问经纪人”技术，通常在实际操作之前使用。

首次从新来源进行特权RDP登录

信号：

特权账户（域管理员、服务器管理员、本地管理员等效账户）成功通过RDP从一个之前未见过的来源登录。

建议逻辑：

• “成功登录特权账户，源IP/工作站在过去N天的基线历史中不存在。”

调优：

• 维护经过批准的管理员工作站/跳转主机的允许列表，
• 在正常变更窗口期间，将“首次看到”与02:00时的处理方式不同。

分诊下一步：

• 验证源端点：它是公司管理、已修补并且符合预期吗？
• 检查账户是否有最近的密码重置或锁定。
• 搜索特权变更、任务创建或服务创建，时间在登录后15至30分钟内。

勒索软件相关性：

勒索软件运营商通常会迅速追求特权访问，以禁用防御并广泛推送加密。

RDP 扩展：一个源认证到多个主机

信号：

一个 工作站或IP 在短时间内成功验证多个服务器。

建议逻辑：

• “一个源在 M 分钟内成功登录到 >N 个不同目标主机。”

调优：

• 排除已知的管理工具和合法接触多个主机的跳转服务器，
• 为管理员账户与非管理员账户创建单独的阈值，
• 在非工作时间收紧阈值。

分诊下一步：

• 识别“枢轴主机”（源）
• 验证该账户是否预期管理这些目标。
• 查找源端点上凭据收集或远程工具执行的迹象。

勒索软件相关性：

横向移动是如何使“一个被破坏的登录”变成“域范围内的加密”。

RDP成功后更改权限或新管理员

信号：

成功登录后不久，同一主机显示出与特权提升一致的用户或组更改（新的本地管理员，组成员资格添加）。

建议逻辑：

• “成功登录 → 在 N 分钟内：新的管理员组成员资格或新的本地用户创建。”

调优：

• 允许已知的配置窗口，但要求对例外情况提交变更票据，
• 在进行更改时请特别注意 一个很少执行管理任务的用户 .

分诊下一步：

• 验证更改目标（哪个帐户被授予管理员权限），
• 检查新账户是否立即用于额外的登录。
• 检查演员是否执行了扇出动作。

勒索软件相关性：

特权更改是防御关闭和大规模部署的常见前兆。

RDP成功后创建计划任务或服务

信号：

交互式会话后会有持久性或部署机制，例如计划任务或新服务。

建议逻辑：

• “成功登录 → 在 N 分钟内：已创建或安装计划任务或服务。”

调优：

• 排除已知的软件部署工具，
• 与登录帐户和主机角色相关（域控制器和文件服务器应极为敏感）。

分诊下一步：

• 识别命令行和二进制路径（EDR 在这里提供帮助），
• 检查任务/服务是否针对多个端点，
• 在它们传播之前隔离可疑的二进制文件。

勒索软件相关性：

计划任务和服务是部署有效载荷和大规模执行加密的常见方式。

RDP（可用时）后不久会发出防御失效信号

信号：

端点保护已禁用，篡改保护触发，或安全工具在新的远程登录后不久停止。

建议逻辑：

• “管理员通过 RDP 登录 → 在 N 分钟内：安全产品禁用事件或篡改警报。”

调优：

• 将任何服务器上的故障视为比工作站更高的严重性。
• 验证维护窗口是否合理地证明了工具更改的合法性。

分诊下一步：

• 如果可以安全地这样做，请隔离主机。
• 禁用账户会话 并轮换凭据，
• 在其他主机上寻找相同的账户。

勒索软件相关性：

防御损害是实际操作员活动的强烈指标，而不是随机扫描。

RDP前兆警报触发时的示例分类检查表

这旨在提高速度。在采取行动之前不要试图确定。采取措施以减少爆炸半径，同时进行调查。

10分钟分诊：确认和识别范围

1. 确认警报是真实的 识别用户、源、目标、时间和登录类型（4624/4625 数据）。
2. 检查源是否属于您的网络、VPN出口或预期的跳转主机。
3. 确定该帐户是否具有特权，以及此主机是否应该接受交互式登录。
4. 以源为中心：失败多少，成功多少，目的地多少？

结果：决定这是否是“可能恶意的”、“可疑的”或“预期的”。

30分钟隔离：停止访问并限制传播

不需要完全确定性的控制杠杆：

• 禁用或重置可疑账户凭据（特别是特权账户），
• 在边缘阻止可疑的源IP（理解攻击者可以轮换），
• 暂时从广泛的组中移除 RDP 访问（最小权限执行），
• 如果源端点似乎是扇出移动的枢轴，请将其隔离。

CISA的指导反复强调 限制远程服务，如RDP 并在需要时应用强有力的措施，因为暴露或控制不严的远程访问是常见的入侵途径。

60分钟猎杀扩展：追踪横向移动和准备

现在假设攻击者正在尝试进行阶段性攻击。

• 搜索其他主机上同一账户的更多成功登录。
• 查找第一个目标主机上的快速权限更改、新管理员创建和任务/服务创建。
• 检查文件服务器和虚拟化主机的异常登录（这些是勒索软件的“影响倍增器”）。
• 验证备份和恢复准备情况，但在您确认暂存已停止之前，请勿开始恢复。

TSplus高级安全适合在哪里？

防御优先的控制措施以降低RDP引发的勒索软件概率

为RDP和应用程序服务器而制作

检测至关重要，但远程桌面协议勒索软件通常成功，因为攻击者可以反复尝试凭据，直到某个凭据有效，然后在进入后继续移动。TSplus Advanced Security 是一个 防御第一层 旨在通过积极限制和干扰在勒索软件之前的常见RDP攻击路径来降低这种概率。

TSplus软件套件 - 内置互补性

由于它与TSplus Remote Access的细粒度用户和组限制及设置的互补性，它为抵御对您的应用程序服务器的攻击提供了坚实的防御。

全面安全，毫无漏洞

实际上，缩小身份验证表面并打破自动凭证滥用模式是关键。通过限制谁可以连接、从哪里连接以及在什么条件下连接，以及学习标准行为并应用保护控制以减少暴力破解和喷洒攻击的有效性，Advanced Security 提供了坚实的屏障。这补充了标准的 RDP 卫生，而不是替代它，并通过防止一个幸运的凭证成为交互式立足点来争取时间。

检测工程乘数：更好的信号，更快的响应

防御优先的控制措施还可以提高检测质量。当互联网规模的暴力攻击噪声减少时，基线更快稳定，阈值可以更严格。由于事件减少，警报变得更具可操作性。

在事件中，速度在每个层面都很重要。基于政策的限制成为即时响应的杠杆：阻止可疑来源，隔离受影响区域，收紧允许的访问模式，减少授权并限制横向移动的机会，同时进行调查。

操作工作流程：与您的警报映射的控制杠杆

使用 TSplus高级安全 作为与本指南中的检测相关的“快速切换”：

• 如果喷洒/暴力攻击模式激增，请收紧访问规则并提高自动阻止以停止重复尝试。
• 如果首次从新来源出现特权 RDP 登录，请限制特权访问路径，仅允许已知的管理员来源，直到验证完成。
• 如果检测到扇出移动，请限制允许的连接以减少传播，同时隔离枢轴端点。

这种方法侧重于检测优先，但周围有真正的保护优先的力量，以便攻击者在您调查时无法继续尝试。

勒索软件检测计划的结论

远程桌面协议勒索软件很少在没有警告的情况下到来。凭证滥用、异常登录模式和快速的登录后更改通常在加密开始之前就能明显看到。通过基准正常的RDP活动并对一小组高信号行为发出警报，IT团队可以从被动清理转变为 早期遏制 .

将这些检测与优先防御控制相结合，例如限制访问路径和通过TSplus Advanced Security干扰暴力攻击尝试，可以减少攻击者的滞留时间，并在防止勒索软件影响时争取重要的几分钟。