T1021.001: Протокол удаленного рабочего стола

Злоумышленники могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

Удаленный рабочий стол — распространенная функция в операционных системах. Она позволяет использовать графический интерфейс рабочего стола удаленной системы в интерактивном режиме. В реализации Microsoft протокол удаленного рабочего стола (RDP) называется "службы удаленных рабочих столов (RDS)".

Для расширения своего доступа злоумышленники могут подключиться к удаленной системе через службу RDP/RDS, если она включена и позволяет получить доступ к учетным записям с использованием уже известных учетных данных. Злоумышленники, скорее всего, будут использовать техники получения учетных данных, чтобы получить нужные учетные данные для использования RDP. Злоумышленники также могут использовать RDP в сочетании со специальными возможностями или DLL служб терминалов для закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-429: RDP_Login_From_Known_UNIX_Host: Подключение по протоколу RDP с известного Unix-узла remote_work: PT-CR-2560: RDP_Login_From_Internet: Вход в систему по протоколу RDP из интернета. RDP обычно используется системными администраторами для удаленного управления системой внутри сети remote_work: PT-CR-1826: RDP_Suspicious_Client: Попытка подключиться по RDP с помощью клиента ActiveX без создания рабочего окна, что может быть признаком перемещения внутри периметра unix_mitre_attck_command_and_control: PT-CR-1700: Unix_Proxy_Forwarding: Возможное туннелирование трафика с Unix-узла на Windows-узел unix_mitre_attck_lateral_movement: PT-CR-1698: Subrule_Unix_PortForwarding: Возможное туннелирование трафика mitre_attck_lateral_movement: PT-CR-2462: Multiple_RDP_From_One_User_Or_Host: Множество RDP-подключений от одного узла или учетной записи. Это может быть признаком скрытых перемещений злоумышленника от одной скомпрометированной системы к другой mitre_attck_lateral_movement: PT-CR-788: Shadow_Key_Creation: Обнаружено создание раздела реестра Shadow для теневого RDP-подключения mitre_attck_lateral_movement: PT-CR-1825: RDP_Shared_Mountpoint_Usage: Использование общей точки подключения tsclient RDP на целевом узле, что может свидетельствовать о перемещении внутри периметра mitre_attck_lateral_movement: PT-CR-1697: Subrule_Windows_Logon: Подключение или попытка подключения по протоколу SMB или RDP profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1042: Update_Server_Abnormal_Access: Подозрительный вход на сервер обновлений (FLUS/GUS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевом трафике необычные потоки данных, которые могут указывать на использование существующих учетных записей для подключения к компьютеру по протоколу удаленного рабочего стола (RDP).

Протокол удаленного рабочего стола (RDP), встроенный в операционные системы Microsoft, позволяет пользователю удаленно входить на рабочий стол другого узла. Он обеспечивает интерактивный доступ к окнам запущенных программ и передает в удаленную систему нажатия клавиш, щелчки мышью и другие действия пользователя. Сетевые администраторы, опытные пользователи и конечные пользователи могут использовать RDP в своей повседневной работе. С точки зрения злоумышленника, RDP дает возможность переместиться на новый узел. Определить, какие RDP-соединения связаны с активностью злоумышленника, может быть сложно в динамичных средах, но это поможет оценить масштаб компрометации. Использование удаленного рабочего стола можно обнаружить несколькими способами:

  • сетевые подключения к порту 3389/TCP (предполагается использование порта по умолчанию);
  • анализ перехваченных пакетов;
  • обнаружение сетевых подключений из процесса mstsc.exe;
  • выполнение процесса rdpclip.exe;
  • работа диспетчера буфера обмена на целевом узле RDP (если включен общий доступ к буферу обмена).

Аналитика 1

source="Zeek:" AND (port="3389") AND LogonType="10"

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте пользовательские учетные записи, вошедшие в систему с помощью RDP (например, события Windows с идентификатором 4624, тип входа 10). На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как попытки доступа с нескольких систем за короткий промежуток времени и действия после удаленного входа.

Важно отслеживать события входа и выхода на узлах сети, чтобы понимать контекст происходящего. Эти сведения могут помочь подтвердить нетипичную активность или объяснить другие события.

Такой подход можно применять к различным типам отслеживания в зависимости от необходимых данных. Например, можно отслеживать все удаленные подключения и составлять графики входа в систему для пользователей. Вход в систему регистрируется событиями Windows с идентификаторами 4624 (Windows Vista и выше) и 518 (версии ниже Vista). События выхода — событие Windows с идентификаторами 4634 (Windows Vista и выше) и 538 (версии ниже Vista).

Примечание. Данная аналитика отслеживает события входа пользователей и исключает имена 30 наиболее активных учетных записей, чтобы уменьшить количество ложных срабатываний из-за служебных учетных записей. С нее рекомендуется начинать сбор контекстных сведений о подобных событиях. Данный метод вызывает большое количество ложных срабатываний и требует настройки, в особенности количества наиболее активных пользователей для фильтрации.

Аналитика 1

source="*WinEventLog:Security" EventCode IN (4624, 4634, 4647, 4778) |search user NOT IN top limit=30

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте создание сетевых соединений (обычно через порт 3389), в которых могут использоваться существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов (таких как mstsc.exe), которые могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После подключения злоумышленники могут выполнять действия, порождающие дополнительные процессы, от имени вошедшего в систему пользователя.

IDDS0028Источник и компонент данныхСеанс входа в систему: Метаданные сеанса входа в системуОписание

Отслеживайте журналы аутентификации и анализируйте нетипичные попытки доступа. Подключение по протоколу удаленного рабочего стола (RDP) нередко проводится системными администраторами и службами поддержки, но только с определенных рабочих станций. Отслеживая попытки подключения к удаленным рабочим столам и сопоставляя их источники с известными и одобренными системами, можно выявить перемещение злоумышленников внутри сети.

Аналитика 1

source="WinEventLog:Security" EventCode="4624" AND LogonType="10" AND AuthenticationPackageName="Negotiate" AND TargetUserName="Admin")

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.

IDM1028НазваниеИзменение конфигурации ОСОписание

Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.

IDM1030НазваниеСегментация сетиОписание

Не оставляйте RDP доступным из интернета. Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию при удаленном входе в систему.

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Используйте шлюзы для удаленных рабочих столов.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите службу RDP, если она не нужна.

IDM1047НазваниеАудитОписание

Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.