遠端桌面協議勒索病毒：面對以RDP為主的入侵的檢測工程

為什麼需要遠端桌面協議勒索病毒高信號檢測指南？

遠端桌面協議 (RDP) 勒索病毒事件通常以相同的方式開始：憑證濫用、成功的互動登錄和在加密之前的靜默橫向移動。許多團隊已經知道基本的 加固 RDP 但當監控過於嘈雜或分流過慢時，勒索病毒操作員仍然會潛入。

本指南專注於針對RDP主導的入侵進行檢測工程：收集的最低遙測數據、如何基準習慣、確定六種高信號警報模式，並計劃一個實用的分流工作流程，以便在加密之前採取行動。

RDP 勒索病毒：為什麼檢測很重要？

您實際上可以觀察到的RDP到勒索軟體鏈

RDP 在大多數遠端桌面協議勒索病毒故事中並不是「漏洞」。RDP 是攻擊者在獲得憑證後使用的互動通道，然後重複使用該通道在系統之間移動。 CISA 對勒索軟體團體的建議 反覆記錄在環境內部使用被竊取的憑證和RDP進行移動的情況。

好消息是，這個工作流程留下的痕跡在大多數 Windows 環境中都是可觀察的，即使沒有先進的工具。

• 身份驗證失敗和成功，
• 與 RDP 一致的登錄類型模式，
• 突然的權限變更在新登錄後，
• 側向移動（即擴展）行為，
• 持續性操作，如排程任務和服務。

預加密檢測在實踐中是什麼樣的？

預加密檢測並不意味著捕捉每一次掃描或每一次失敗的密碼嘗試。它意味著可靠地捕捉重要的轉換點：

1. “ 攻擊者正在嘗試憑證 ”,
2. 攻擊者進入了
3. 攻擊者正在擴大影響範圍
4. 攻擊者正在準備部署。

這也是為什麼CISA的勒索軟體指導強調限制像RDP這樣的高風險遠端服務，以及在必要時應用最佳實踐。檢測和響應是無法在一夜之間重新設計的環境中最佳實踐現實的一部分。

什麼構成 RDP 主導的入侵檢測的最低可行遙測？

Windows 安全日誌以收集

事件日誌 - 成功和失敗的登錄：

如果您只做一件事，請收集並集中 Windows 安全事件以進行登錄：

• 事件 ID 4624： 成功登入
• 事件 ID 4625：登錄失敗

RDP 互動會話通常顯示為「遠端互動」登錄（在許多環境中通常為登錄類型 10），當啟用網路層級驗證（NLA）時，您還會看到相關活動，因為驗證發生得更早，並且可能在端點和域控制器上以不同方式記錄。

NB: 如果您看到空白，請檢查與憑證驗證相關的域控制器事件。

從每個事件中捕獲什麼以進行檢測工程：

• 目標主機（目的地），
• 帳戶名稱和域名，
• 來源 IP / 工作站名稱（如有）
• 登錄類型，
• 身份驗證套件 / 流程（如有）
• 失敗原因代碼（適用於 4625）。

RDS 和 TerminalServices 日誌，提供背景資訊

安全日誌告訴您「誰登錄以及從哪裡登錄」。RDS 和 TerminalServices 日誌幫助告訴您「會話的行為」，特別是在具有會話主機的遠端桌面服務環境中。

收集以下日誌可以在涉及多個會話時加快分流速度：

• 連接/斷開事件，
• 會話重新連接模式，
• 在不尋常的主機上會話創建的高峰。

如果您的環境是純粹的“管理員 RDP 進入伺服器”，這些日誌是可選的。如果您運行 RDS 農場，它們是值得的。

集中與保留：什麼是「足夠」的樣子

檢測不集中化變成了“將遠程放入一個盒子裡，希望日誌仍然存在”。將日誌集中到SIEM或日誌平台，並保持足夠的保留時間以查看緩慢的入侵。

對於勒索軟體調查，實際的最短時間以週來計算，而非以天來計算，因為訪問經紀人可能在加密之前就已經建立了訪問。如果您無法保留所有內容，至少應保留身份驗證、權限變更、任務/服務創建和端點保護事件。

如何基準正常的 RDP 以便警報變成高信號？

使用者、來源、主機、時間和結果的基準線

大多數 RDP 警報失敗是因為沒有基準化。現實生活中的 RDP 有模式，例如：

• 特定管理帳戶使用特定跳躍主機，
• 登錄發生在維護窗口期間，
• 某些伺服器永遠不應接受互動式登錄。
• 某些用戶根本不應該對伺服器進行身份驗證。

基準這些尺寸：

• 用戶 → 典型主機，
• 用戶 → 典型來源 IP / 子網，
• 用戶 → 典型登錄時間，
• 主機 → 典型的 RDP 使用者，
• 主機 → 典型身份驗證成功率。

然後建立在偏離該模型時觸發的警報，而不僅僅是基於原始數量。

將管理員 RDP 與用戶 RDS 會話分開以減少噪音

如果您為最終用戶運行 RDS，請不要將“用戶會話噪音”與“管理路徑風險”混合。為以下內容創建單獨的基準和檢測：

• 終端用戶會話到會話主機（預期），
• 管理會話到基礎設施伺服器（風險較高），
• 管理會話到域控制器（最高風險，通常應該是“從不”）。

這種分離是使警報有意義而不增加新工具的最快方法之一。

高信號檢測標記以捕捉勒索病毒前兆

這裡的目標不是更多的檢測，而是更少的檢測和更清晰的事件分類。

每個檢測下方，首先以「僅安全日誌」開頭，然後根據您擁有的 EDR/Sysmon 進行補充。

密碼噴灑與暴力破解：基於模式的檢測

信號：

許多失敗的登錄分佈在多個帳戶（噴灑）或集中在一個帳戶（暴力破解）。

建議邏輯：

• 噴霧： “>X 次失敗從一個來源到 >Y 個不同的用戶名在 Z 分鐘內。”
• 暴力破解 : “>X 次失敗來自一個來源的同一用戶名在 Z 分鐘內。”

調整：

• 排除已知的跳轉主機和許多合法用戶來源的 VPN 出口，
• 根據一天中的時間調整閾值（非工作時間的故障更重要），
• 調整合法失敗的服務帳戶（但也要驗證原因）。

分流後續步驟：

• 確認來源 IP 的聲譽以及它是否屬於您的環境，
• 檢查是否有相同來源在短時間內成功登錄的情況。
• 如果已加入域，請檢查域控制器驗證失敗情況。

勒索病毒相關性：

密碼噴灑是一種常見的“初始訪問經紀人”技術，這種技術在實際操作之前進行。

首次從新來源進行特權 RDP 登錄

信號：

特權帳戶（域管理員、伺服器管理員、本地管理員等效）成功通過 RDP 從未見過的來源登錄。

建議邏輯：

• “成功登錄特權帳戶，來源 IP/工作站在過去 N 天內不在基線歷史中。”

調整：

• 維護已批准的管理工作站/跳躍主機的允許清單，
• 在正常變更窗口期間，將“首次看到”與02:00時的情況區別對待。

分流後續步驟：

• 驗證來源端點：它是企業管理的、已修補的並且是預期的嗎？
• 檢查帳戶是否有最近的密碼重置或鎖定。
• 搜尋特權變更、任務創建或服務創建，時間範圍為登錄後的 15 至 30 分鐘內。

勒索病毒相關性：

勒索病毒操作員通常會迅速追求特權訪問，以禁用防禦並廣泛推進加密。

RDP 分流：一個來源驗證多個主機

信號：

單一 工作站或 IP 在短時間內成功驗證多個伺服器。

建議邏輯：

• “在 M 分鐘內成功登錄到 >N 個不同目的地主機的單一來源。”

調整：

• 排除已知的管理工具和合法接觸多個主機的跳轉伺服器，
• 為管理帳戶與非管理帳戶創建單獨的閾值，
• 在非工作時間後收緊閾值。

分流後續步驟：

• 識別“樞紐主機”（來源），
• 驗證該帳戶是否預期管理這些目的地，
• 尋找源端點上憑證收集或遠端工具執行的跡象。

勒索病毒相關性：

側向移動是如何使“一個被入侵的登錄”變成“整個域的加密”。

RDP 成功後的權限變更或新管理員

信號：

成功登錄後不久，同一主機顯示用戶或群組變更，與特權提升一致（新的本地管理員，群組成員資格增加）。

建議邏輯：

• “成功登錄 → 在 N 分鐘內：新的管理員組成員資格或新的本地用戶創建”。

調整：

• 允許已知的配置窗口，但要求對例外情況提交變更票據，
• 特別注意當變更由...執行時 一個很少執行管理任務的用戶 .

分流後續步驟：

• 驗證變更目標（哪個帳戶被授予管理員權限），
• 檢查新帳戶是否立即用於額外登錄。
• 檢查演員是否執行了扇出動作。

勒索病毒相關性：

特權變更是防禦關閉和大規模部署的常見前兆。

RDP 成功後隨即創建計劃任務或服務

信號：

互動會話之後是持久性或部署機制，例如排定任務或新服務。

建議邏輯：

• “成功登錄 → 在 N 分鐘內：已創建計劃任務或安裝/創建服務。”

調整：

• 排除已知的軟體部署工具，
• 與登錄帳戶和主機角色相關（域控制器和文件伺服器應極為敏感）。

分流後續步驟：

• 識別命令行和二進位路徑（EDR 在這裡提供幫助），
• 檢查任務/服務是否針對多個端點，
• 在它們擴散之前對可疑的二進位檔進行隔離。

勒索病毒相關性：

排程任務和服務是部署有效載荷和大規模執行加密的常見方式。

RDP（可用時）後不久的防禦損害信號

信號：

端點保護已禁用，篡改保護觸發，或安全工具在新的遠程登錄後不久停止運作。

建議邏輯：

• “管理員透過 RDP 登入 → 在 N 分鐘內：安全產品禁用事件或篡改警報。”

調整：

• 將任何伺服器上的故障視為比工作站更高的嚴重性。
• 驗證維護窗口是否合理地證明了工具變更的必要性。

分流後續步驟：

• 如果可以安全地這樣做，請隔離主機。
• 停用帳戶會話 並輪換憑證，
• 在其他主機上尋找相同的帳戶。

勒索病毒相關性：

防禦損害是實際操作員活動的強烈指標，而非隨機掃描。

RDP 前驅警報觸發時的範例分類檢查表

這是為了速度而設計的。在採取行動之前，不要試圖確定。採取行動以減少爆炸半徑，並在調查時進行。

10分鐘篩選：確認和識別範圍

1. 確認警報是真實的 識別用戶、來源、目的地、時間和登錄類型（4624/4625 數據）。
2. 檢查來源是否屬於您的網絡、VPN 出口或預期的跳轉主機。
3. 確定該帳戶是否具有特權，以及此主機是否應該接受互動登錄。
4. 以來源為中心：有多少失敗，多少成功，多少目的地？

結果：決定這是“可能惡意”、“可疑”還是“預期”。

30分鐘隔離：停止訪問並限制擴散

不需要完全確定的控制措施：

• 禁用或重置可疑帳戶憑證（特別是特權帳戶），
• 在邊緣阻擋可疑的來源 IP（理解攻擊者可以輪換），
• 暫時從廣泛群組中移除 RDP 存取（最小權限執行），
• 如果源端點似乎是扇出移動的樞紐，請將其隔離。

CISA的指導重申 限制遠端服務如RDP 並在需要時採用強有力的做法，因為暴露或控制不嚴的遠端存取是常見的入侵途徑。

60分鐘獵捕擴展：追蹤橫向移動和佈局

現在假設攻擊者正在嘗試進行佈局。

• 搜尋其他主機上相同帳戶的額外成功登錄。
• 尋找第一個目標主機上的快速權限變更、新管理員創建和任務/服務創建。
• 檢查檔案伺服器和虛擬化主機的異常登錄（這些是勒索軟體的“影響倍增器”）。
• 驗證備份和恢復準備情況，但在您確信階段已停止之前，請勿開始恢復。

TSplus 高級安全性適合在哪裡？

以防禦為首的控制措施以降低RDP引發的勒索病毒概率

為 RDP 和應用程式伺服器而製作

檢測至關重要，但遠端桌面協定勒索病毒通常能夠成功，因為攻擊者可以反覆嘗試憑證，直到某個有效為止，然後一旦進入就繼續移動。TSplus Advanced Security 是一個 防禦第一層 旨在通過主動限制和干擾在勒索病毒之前的常見RDP攻擊路徑來降低該概率。

TSplus 軟體套件 - 內建互補性

由於其與 TSplus Remote Access 的細粒度用戶和群組限制及設置的互補性，它為抵禦對您的應用程序伺服器的攻擊嘗試提供了堅實的防禦。

全面安全，無縫隙可留

實際上，縮小身份驗證表面並打破自動化憑證濫用模式是關鍵。通過參與限制誰可以連接、從何處以及在什麼條件下連接，以及學習標準行為並應用保護控制來減少暴力破解和噴灑的有效性，Advanced Security 提供了堅實的屏障。這補充了標準的 RDP 衛生，而不是取代它，並通過防止一個幸運的憑證成為互動的立足點來爭取時間。

檢測工程乘數：更好的信號，更快的響應

防禦優先的控制措施也提高了檢測質量。當互聯網規模的暴力攻擊噪音減少時，基準線穩定得更快，閾值可以更嚴格。警報變得更具可操作性，因為造成背景輻射的事件減少了。

在事件中，速度在每個層面上都很重要。政策驅動的限制成為立即反應的杠杆：阻止可疑來源，隔離受影響區域，收緊允許的訪問模式，減少授權並限制橫向移動的機會，同時進行調查。

操作工作流程：映射到您的警報的控制杠杆

使用 TSplus 高級安全性 作為與本指南中的檢測相關的“快速切換”：

• 如果噴霧/暴力攻擊模式激增，請收緊訪問規則並提高自動封鎖以停止重複嘗試。
• 如果首次從新來源出現特權 RDP 登錄，請限制特權訪問路徑至已知的管理來源，直到驗證完成。
• 如果檢測到扇出移動，則限制允許的連接以減少擴散，同時隔離樞紐端點。

這種方法專注於檢測為先，但周圍有真正的保護為先的力量，以便攻擊者在您調查時無法繼續嘗試。

對於勒索病毒檢測計劃的結論

遠端桌面協議勒索病毒通常不會在沒有警告的情況下出現。憑證濫用、不尋常的登錄模式和快速的登錄後變更通常在加密開始之前就能明顯看到。通過基準正常的RDP活動並對一小組高信號行為發出警報，IT團隊可以從被動清理轉變為 早期控制 .

將這些檢測與以防禦為首的控制措施配對，例如限制訪問路徑和使用 TSplus 高級安全性 來干擾暴力破解嘗試，可以減少攻擊者的滯留時間，並在防止勒索軟體影響時贏得重要的幾分鐘。