T1563: Перехват сессии службы удаленного доступа

Злоумышленники могут получить контроль над уже существующими сессиями служб удаленного доступа для перемещения внутри периметра. Пользователи могут использовать действительные учетные данные для авторизации в службах удаленных подключений, таких как Telnet, SSH и RDP. При входе пользователя в службу устанавливается сессия, которая позволяет ему взаимодействовать с этой службой.

Злоумышленники могут перехватить эти сессии, чтобы выполнять операции в удаленных системах. Перехват сессии службы удаленного доступа отличается от техники Службы удаленного доступа тем, что подразумевает перехват существующей сессии, а не создание новой сессии с помощью существующих учетных записей.

Какие продукты Positive Technologies покрывают технику

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять.

Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте создание служб с помощью команд с аргументами cmd.exe /k или cmd.exe /c, чтобы обнаружить перехват сеанса RDP. Для отслеживания команд, которые используются для подготовки к перехвату сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с ИД 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP.

Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки /noconsentPrompt и /shadow:, которые позволяют перехватить сеанс RDP незаметно — без предупреждения пользователя и без завершения текущего сеанса.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с ИД 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP.

Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений.

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Включите правила брандмауэра, чтобы блокировать ненужный трафик между зонами безопасности внутри сети.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите службу удаленного доступа (например, SSH, RDP и т. д.), если она не нужна.

IDM1027НазваниеПарольные политикиОписание

Создайте и внедрите политику безопасных паролей для учетных записей.

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Не разрешайте удаленный доступ к службам под привилегированной учетной записью, если в этом нет необходимости.