Экспертиза MaxPatrol SIEM

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять.

Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий.

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP.

Отслеживайте создание служб с помощью команд с аргументами cmd.exe /k или cmd.exe /c, чтобы обнаружить перехват сеанса RDP. Для отслеживания команд, которые используются для подготовки к перехвату сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с ИД 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName.

По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP.

Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки /noconsentPrompt и /shadow:, которые позволяют перехватить сеанс RDP незаметно — без предупреждения пользователя и без завершения текущего сеанса.

Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с ИД 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP.

Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений.

Включите правила брандмауэра, чтобы блокировать ненужный трафик между зонами безопасности внутри сети.

Отключите службу удаленного доступа (например, SSH, RDP и т. д.), если она не нужна.

Создайте и внедрите политику безопасных паролей для учетных записей.

Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

Не разрешайте удаленный доступ к службам под привилегированной учетной записью, если в этом нет необходимости.