Техника на mitre.org

T1021.001: Протокол удаленного рабочего стола

Злоумышленники могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники могут выполнять действия от имени вошедшего в систему пользователя.

Удаленный рабочий стол — распространенная функция в операционных системах. Она позволяет использовать графический интерфейс рабочего стола удаленной системы в интерактивном режиме. В реализации Microsoft протокол удаленного рабочего стола (RDP) называется "службы удаленных рабочих столов (RDS)".

Для расширения своего доступа злоумышленники могут подключиться к удаленной системе через службу RDP/RDS, если она включена и позволяет получить доступ к учетным записям с использованием уже известных учетных данных. Злоумышленники, скорее всего, будут использовать техники получения учетных данных, чтобы получить нужные учетные данные для использования RDP. Злоумышленники также могут использовать RDP в сочетании со специальными возможностями или DLL служб терминалов для закрепления в системе.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-783: RDP_Shadow_Session: Теневое RDP-подключение unix_mitre_attck_command_and_control: PT-CR-1700: Unix_Proxy_Forwarding: Возможное туннелирование трафика с Unix-узла на Windows-узел profiling: PT-CR-1070: Top_Managers_Abnormal_Access: Подозрительный вход на рабочую станцию руководителя организации. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1040: Release_Build_Agent_Abnormal_Access: Подозрительный вход на сервер сборочных агентов. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1035: App_1C_User_PC_Abnormal_Access: Подозрительный вход на узел, на котором выполняется работа с приложением 1С. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1810: Critical_Server_Abnormal_Access: Подозрительный вход на критически важный сервер. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1045: VCS_Server_Abnormal_Access: Подозрительный вход в систему контроля версий. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1052: Antivirus_Server_Abnormal_Access: Подозрительный вход на сервер антивирусной защиты. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-228: Domain_Controller_Abnormal_Access: Подозрительный вход на контроллер домена. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1044: Developer_PC_Abnormal_Access: Подозрительный вход на компьютер разработчика. Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1042: Update_Server_Abnormal_Access: Подозрительный вход на сервер обновлений (FLUS/GUS). Данные аутентификации отличаются от собранного профиля profiling: PT-CR-1812: App_1C_Server_Abnormal_Access: Подозрительный вход на сервер 1С. Данные аутентификации отличаются от собранного профиля remote_work: PT-CR-2560: RDP_Login_From_Internet: Вход в систему по протоколу RDP из интернета. RDP обычно используется системными администраторами для удаленного управления системой внутри сети remote_work: PT-CR-1826: RDP_Suspicious_Client: Попытка подключиться по RDP с помощью клиента ActiveX без создания рабочего окна, что может быть признаком перемещения внутри периметра remote_work: PT-CR-449: RDP_Connect_After_RDG: Дублирующие сеансы RDP на сервере RDG с последующим подключением к другим узлам по протоколу RDP remote_work: PT-CR-429: RDP_Login_From_Known_UNIX_Host: Подключение по протоколу RDP с известного Unix-узла mitre_attck_lateral_movement: PT-CR-1825: RDP_Shared_Mountpoint_Usage: Использование общей точки подключения tsclient RDP на целевом узле, что может свидетельствовать о перемещении внутри периметра mitre_attck_lateral_movement: PT-CR-2462: Multiple_RDP_From_One_User_Or_Host: Множество RDP-подключений от одного узла или учетной записи. Это может быть признаком скрытых перемещений злоумышленника от одной скомпрометированной системы к другой mitre_attck_lateral_movement: PT-CR-1697: Subrule_Windows_Logon: Подключение или попытка подключения по протоколу SMB или RDP mitre_attck_lateral_movement: PT-CR-788: Shadow_Key_Creation: Обнаружено создание раздела реестра Shadow для теневого RDP-подключения hacking_tools: PT-CR-1725: Cobalt_Strike_HiddenDesktop: Активность модуля Cobalt Strike HiddenDesktop, который используется для взаимодействия с удаленным рабочим столом без ведома пользователя hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя unix_mitre_attck_lateral_movement: PT-CR-1698: Subrule_Unix_PortForwarding: Возможное туннелирование трафика

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевом трафике необычные потоки данных, которые могут указывать на использование существующих учетных записей для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). Протокол удаленного рабочего стола (RDP), встроенный в операционные системы Microsoft, позволяет пользователю удаленно входить на рабочий стол другого узла. Он обеспечивает интерактивный доступ к окнам запущенных программ и передает в удаленную систему нажатия клавиш, щелчки мышью и другие действия пользователя. Сетевые администраторы, опытные пользователи и конечные пользователи могут использовать RDP в своей повседневной работе. С точки зрения злоумышленника, RDP дает возможность переместиться на новый узел. Определить, какие RDP-соединения связаны с активностью злоумышленника, может быть сложно в динамичных средах, но это поможет оценить масштаб компрометации. Использование удаленного рабочего стола можно обнаружить несколькими способами: сетевые подключения к порту 3389/TCP (предполагается использование порта по умолчанию); анализ перехваченных пакетов; обнаружение сетевых подключений из процесса `mstsc.exe`; выполнение процесса `rdpclip.exe`; работа диспетчера буфера обмена на целевом узле RDP (если включен общий доступ к буферу обмена). Аналитика 1 `source="Zeek:" AND (port="3389") AND LogonType="10"`

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений (обычно через порт 3389), в которых могут использоваться существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	Отслеживайте журналы аутентификации и анализируйте нетипичные попытки доступа. Подключение по протоколу удаленного рабочего стола (RDP) нередко проводится системными администраторами и службами поддержки, но только с определенных рабочих станций. Отслеживая попытки подключения к удаленным рабочим столам и сопоставляя их источники с известными и одобренными системами, можно выявить перемещение злоумышленников внутри сети. Аналитика 1 `source="WinEventLog:Security" EventCode="4624" AND LogonType="10" AND AuthenticationPackageName="Negotiate" AND TargetUserName="Admin")`

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте пользовательские учетные записи, вошедшие в систему с помощью RDP (например, события Windows с идентификатором 4624, тип входа 10). На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как попытки доступа с нескольких систем за короткий промежуток времени и действия после удаленного входа. Важно отслеживать события входа и выхода на узлах сети, чтобы понимать контекст происходящего. Эти сведения могут помочь подтвердить нетипичную активность или объяснить другие события. Такой подход можно применять к различным типам отслеживания в зависимости от необходимых данных. Например, можно отслеживать все удаленные подключения и составлять графики входа в систему для пользователей. Вход в систему регистрируется событиями Windows с идентификаторами 4624 (Windows Vista и выше) и 518 (версии ниже Vista). События выхода — событие Windows с идентификаторами 4634 (Windows Vista и выше) и 538 (версии ниже Vista). Примечание. Данная аналитика отслеживает события входа пользователей и исключает имена 30 наиболее активных учетных записей, чтобы уменьшить количество ложных срабатываний из-за служебных учетных записей. С нее рекомендуется начинать сбор контекстных сведений о подобных событиях. Данный метод вызывает большое количество ложных срабатываний и требует настройки, в особенности количества наиболее активных пользователей для фильтрации. Аналитика 1 `source="*WinEventLog:Security" EventCode IN (4624, 4634, 4647, 4778) \|search user NOT IN top limit=30`

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	Отслеживайте запуск новых процессов (таких как `mstsc.exe`), которые могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После подключения злоумышленники могут выполнять действия, порождающие дополнительные процессы, от имени вошедшего в систему пользователя.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевом трафике необычные потоки данных, которые могут указывать на использование существующих учетных записей для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). Протокол удаленного рабочего стола (RDP), встроенный в операционные системы Microsoft, позволяет пользователю удаленно входить на рабочий стол другого узла. Он обеспечивает интерактивный доступ к окнам запущенных программ и передает в удаленную систему нажатия клавиш, щелчки мышью и другие действия пользователя. Сетевые администраторы, опытные пользователи и конечные пользователи могут использовать RDP в своей повседневной работе. С точки зрения злоумышленника, RDP дает возможность переместиться на новый узел. Определить, какие RDP-соединения связаны с активностью злоумышленника, может быть сложно в динамичных средах, но это поможет оценить масштаб компрометации. Использование удаленного рабочего стола можно обнаружить несколькими способами: сетевые подключения к порту 3389/TCP (предполагается использование порта по умолчанию); анализ перехваченных пакетов; обнаружение сетевых подключений из процесса `mstsc.exe`; выполнение процесса `rdpclip.exe`; работа диспетчера буфера обмена на целевом узле RDP (если включен общий доступ к буферу обмена). Аналитика 1 `source="Zeek:" AND (port="3389") AND LogonType="10"`
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений (обычно через порт 3389), в которых могут использоваться существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После этого злоумышленники смогут выполнять действия от имени вошедшего в систему пользователя. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа.
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	Отслеживайте журналы аутентификации и анализируйте нетипичные попытки доступа. Подключение по протоколу удаленного рабочего стола (RDP) нередко проводится системными администраторами и службами поддержки, но только с определенных рабочих станций. Отслеживая попытки подключения к удаленным рабочим столам и сопоставляя их источники с известными и одобренными системами, можно выявить перемещение злоумышленников внутри сети. Аналитика 1 `source="WinEventLog:Security" EventCode="4624" AND LogonType="10" AND AuthenticationPackageName="Negotiate" AND TargetUserName="Admin")`
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте пользовательские учетные записи, вошедшие в систему с помощью RDP (например, события Windows с идентификатором 4624, тип входа 10). На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как попытки доступа с нескольких систем за короткий промежуток времени и действия после удаленного входа. Важно отслеживать события входа и выхода на узлах сети, чтобы понимать контекст происходящего. Эти сведения могут помочь подтвердить нетипичную активность или объяснить другие события. Такой подход можно применять к различным типам отслеживания в зависимости от необходимых данных. Например, можно отслеживать все удаленные подключения и составлять графики входа в систему для пользователей. Вход в систему регистрируется событиями Windows с идентификаторами 4624 (Windows Vista и выше) и 518 (версии ниже Vista). События выхода — событие Windows с идентификаторами 4634 (Windows Vista и выше) и 538 (версии ниже Vista). Примечание. Данная аналитика отслеживает события входа пользователей и исключает имена 30 наиболее активных учетных записей, чтобы уменьшить количество ложных срабатываний из-за служебных учетных записей. С нее рекомендуется начинать сбор контекстных сведений о подобных событиях. Данный метод вызывает большое количество ложных срабатываний и требует настройки, в особенности количества наиболее активных пользователей для фильтрации. Аналитика 1 `source="*WinEventLog:Security" EventCode IN (4624, 4634, 4647, 4778) \|search user NOT IN top limit=30`
DS0009	Процесс: Создание процесса	Отслеживайте запуск новых процессов (таких как `mstsc.exe`), которые могут использовать существующие учетные записи для подключения к компьютеру по протоколу удаленного рабочего стола (RDP). После подключения злоумышленники могут выполнять действия, порождающие дополнительные процессы, от имени вошедшего в систему пользователя.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.

ID	M1028	Название	Изменение конфигурации ОС	Описание	Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.

ID	M1030	Название	Сегментация сети	Описание	Не оставляйте RDP доступным из интернета. Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию при удаленном входе в систему.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Используйте шлюзы для удаленных рабочих столов.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите службу RDP, если она не нужна.

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.
M1026	Управление привилегированными учетными записями	По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.
M1028	Изменение конфигурации ОС	Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.
M1030	Сегментация сети	Не оставляйте RDP доступным из интернета. Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию при удаленном входе в систему.
M1035	Ограничение доступа к ресурсам по сети	Используйте шлюзы для удаленных рабочих столов.
M1042	Отключение или удаление компонента или программы	Отключите службу RDP, если она не нужна.
M1047	Аудит	Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.