T1021.001: Протокол удаленного рабочего стола

Злоумышленники могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

Удаленный рабочий стол — распространенная функция в операционных системах. Она позволяет использовать графический интерфейс рабочего стола удаленной системы в интерактивном режиме. В реализации Microsoft протокол удаленного рабочего стола (RDP) называется "службы удаленных рабочих столов (RDS)".

Для расширения своего доступа злоумышленники могут подключиться к удаленной системе через службу RDP/RDS, если она включена и позволяет получить доступ к учетным записям с использованием уже известных учетных данных. Злоумышленники, скорее всего, будут использовать техники получения учетных данных, чтобы получить нужные учетные данные для использования RDP. Злоумышленники также могут использовать RDP в сочетании со специальными возможностями или DLL служб терминалов для закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-783: RDP_Shadow_Session: Теневое RDP-подключение unix_mitre_attck_command_and_control: PT-CR-1700: Unix_Proxy_Forwarding: Возможное туннелирование трафика с Unix-узла на Windows-узел profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1042: Update_Server_Abnormal_Access: Подозрительный вход на сервер обновлений (FLUS/GUS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-2560: RDP_Login_From_Internet: Вход в систему по протоколу RDP из интернета. RDP обычно используется системными администраторами для удаленного управления системой внутри сети remote_work: PT-CR-1826: RDP_Suspicious_Client: Попытка подключиться по RDP с помощью клиента ActiveX без создания рабочего окна, что может быть признаком перемещения внутри периметра remote_work: PT-CR-449: RDP_Connect_After_RDG: Дублирующие сеансы RDP на сервере RDG с последующим подключением к другим узлам по протоколу RDP remote_work: PT-CR-429: RDP_Login_From_Known_UNIX_Host: Подключение по протоколу RDP с известного Unix-узла mitre_attck_lateral_movement: PT-CR-1825: RDP_Shared_Mountpoint_Usage: Использование общей точки подключения tsclient RDP на целевом узле, что может свидетельствовать о перемещении внутри периметра mitre_attck_lateral_movement: PT-CR-2462: Multiple_RDP_From_One_User_Or_Host: Множество RDP-подключений от одного узла или учетной записи. Это может быть признаком скрытых перемещений злоумышленника от одной скомпрометированной системы к другой mitre_attck_lateral_movement: PT-CR-1697: Subrule_Windows_Logon: Подключение или попытка подключения по протоколу SMB или RDP mitre_attck_lateral_movement: PT-CR-788: Shadow_Key_Creation: Обнаружено создание раздела реестра Shadow для теневого RDP-подключения hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя unix_mitre_attck_lateral_movement: PT-CR-1698: Subrule_Unix_PortForwarding: Возможное туннелирование трафика

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевом трафике необычные потоки данных, которые могут указывать на использование существующих учетных записей для подключения к компьютеру по протоколу удаленного рабочего стола (RDP).

Протокол удаленного рабочего стола (RDP), встроенный в операционные системы Microsoft, позволяет пользователю удаленно входить на рабочий стол другого узла. Он обеспечивает интерактивный доступ к окнам запущенных программ и передает в удаленную систему нажатия клавиш, щелчки мышью и другие действия пользователя. Сетевые администраторы, опытные пользователи и конечные пользователи могут использовать RDP в своей повседневной работе. С точки зрения злоумышленника, RDP дает возможность переместиться на новый узел. Определить, какие RDP-соединения связаны с активностью злоумышленника, может быть сложно в динамичных средах, но это поможет оценить масштаб компрометации. Использование удаленного рабочего стола можно обнаружить несколькими способами:

  • сетевые подключения к порту 3389/TCP (предполагается использование порта по умолчанию);
  • анализ перехваченных пакетов;
  • обнаружение сетевых подключений из процесса mstsc.exe;
  • выполнение процесса rdpclip.exe;
  • работа диспетчера буфера обмена на целевом узле RDP (если включен общий доступ к буферу обмена).

Аналитика 1

source="Zeek:" AND (port="3389") AND LogonType="10"

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений (обычно через порт 3389), в которых могут использоваться существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Отслеживайте журналы аутентификации и анализируйте нетипичные попытки доступа. Подключение по протоколу удаленного рабочего стола (RDP) нередко проводится системными администраторами и службами поддержки, но только с определенных рабочих станций. Отслеживая попытки подключения к удаленным рабочим столам и сопоставляя их источники с известными и одобренными системами, можно выявить перемещение злоумышленников внутри сети.

Аналитика 1

source="WinEventLog:Security" EventCode="4624" AND LogonType="10" AND AuthenticationPackageName="Negotiate" AND TargetUserName="Admin")

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте пользовательские учетные записи, вошедшие в систему с помощью RDP (например, события Windows с идентификатором 4624, тип входа 10). На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как попытки доступа с нескольких систем за короткий промежуток времени и действия после удаленного входа.

Важно отслеживать события входа и выхода на узлах сети, чтобы понимать контекст происходящего. Эти сведения могут помочь подтвердить нетипичную активность или объяснить другие события.

Такой подход можно применять к различным типам отслеживания в зависимости от необходимых данных. Например, можно отслеживать все удаленные подключения и составлять графики входа в систему для пользователей. Вход в систему регистрируется событиями Windows с идентификаторами 4624 (Windows Vista и выше) и 518 (версии ниже Vista). События выхода — событие Windows с идентификаторами 4634 (Windows Vista и выше) и 538 (версии ниже Vista).

Примечание. Данная аналитика отслеживает события входа пользователей и исключает имена 30 наиболее активных учетных записей, чтобы уменьшить количество ложных срабатываний из-за служебных учетных записей. С нее рекомендуется начинать сбор контекстных сведений о подобных событиях. Данный метод вызывает большое количество ложных срабатываний и требует настройки, в особенности количества наиболее активных пользователей для фильтрации.

Аналитика 1

source="*WinEventLog:Security" EventCode IN (4624, 4634, 4647, 4778) |search user NOT IN top limit=30

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов (таких как mstsc.exe), которые могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После подключения злоумышленники могут выполнять действия, порождающие дополнительные процессы, от имени вошедшего в систему пользователя.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.

IDM1028НазваниеИзменение конфигурации ОСОписание

Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.

IDM1030НазваниеСегментация сетиОписание

Не оставляйте RDP доступным из интернета. Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию при удаленном входе в систему.

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Используйте шлюзы для удаленных рабочих столов.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите службу RDP, если она не нужна.

IDM1047НазваниеАудитОписание

Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.