T1563: Перехват сессии службы удаленного доступа

Злоумышленники могут получить контроль над уже существующими сессиями служб удаленного доступа для перемещения внутри периметра. Пользователи могут использовать действительные учетные данные для авторизации в службах удаленных подключений, таких как Telnet, SSH и RDP. При входе пользователя в службу устанавливается сессия, которая позволяет ему взаимодействовать с этой службой.

Злоумышленники могут перехватить эти сессии, чтобы выполнять операции в удаленных системах. Перехват сессии службы удаленного доступа отличается от техники Службы удаленного доступа тем, что подразумевает перехват существующей сессии, а не создание новой сессии с помощью существующих учетных записей.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять.

Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте создание служб с помощью команд с аргументами cmd.exe /k или cmd.exe /c, чтобы обнаружить перехват сеанса RDP. Для отслеживания команд, которые используются для подготовки к перехвату сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с ИД 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP.

Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки /noconsentPrompt и /shadow:, которые позволяют перехватить сеанс RDP незаметно — без предупреждения пользователя и без завершения текущего сеанса.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с ИД 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP.

Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не разрешайте удаленный доступ к службам под привилегированной учетной записью, если в этом нет необходимости.

IDM1027НазваниеПарольные политикиОписание

Создайте и внедрите политику безопасных паролей для учетных записей.

IDM1030НазваниеСегментация сетиОписание

Включите правила брандмауэра, чтобы блокировать ненужный трафик между зонами безопасности внутри сети.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите службу удаленного доступа (например, SSH, RDP и т. д.), если она не нужна.