Техника на mitre.org

T1563.002: Перехват сессии удаленного рабочего стола

Злоумышленники могут перехватить сессию удаленного рабочего стола легитимного пользователя для перемещения внутри периметра. Удаленный рабочий стол — распространенная функция в операционных системах. Она позволяет использовать графический интерфейс рабочего стола удаленной системы в интерактивном режиме. В реализации Microsoft протокол удаленного рабочего стола (RDP) называется "службы удаленных рабочих столов (RDS)".

Злоумышленники могут перехватить удаленную сессию RDP легитимного пользователя. Обычно пользователь видит уведомление, если кто-то другой пытается захватить его сессию. Злоумышленник, имеющий разрешения уровня SYSTEM, может перехватить сессию без ведома пользователя и необходимости предоставления учетных данных с помощью консоли служб удаленных рабочих столов — командой c:\windows\system32\tscon.exe [номер захватываемой сессии]. Это можно сделать удаленно или локально как для активных сессий, так и для тех, к которым не подключены пользователи. Также эта техника может позволить реализовать технику Изучение удаленных систем и повысить привилегии, если злоумышленник перехватит сессию администратора домена или более привилегированной учетной записи. Все это можно сделать с помощью встроенных команд Windows, но такие функции также включаются в инструменты пентестеров.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-783: RDP_Shadow_Session: Теневое RDP-подключение mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя

Способы обнаружения

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Отслеживайте создание служб с помощью команд с аргументами `cmd.exe /k` или `cmd.exe /c`, чтобы обнаружить перехват сеанса RDP. Для отслеживания команд, которые используются для подготовки к перехвату сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с идентификатором 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: `Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" \| select -expand ComputerName`.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять. Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с идентификатором 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP. Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений.

ID	DS0009	Источник и компонент данных	Процесс: Создание процесса	Описание	По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP. Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки `/noconsentPrompt` и `/shadow:`, которые позволяют перехватить сеанс RDP незаметно — без предупреждения пользователя и без завершения текущего сеанса.

ID	Источник и компонент данных	Описание
DS0017	Команда: Выполнение команд	Отслеживайте создание служб с помощью команд с аргументами `cmd.exe /k` или `cmd.exe /c`, чтобы обнаружить перехват сеанса RDP. Для отслеживания команд, которые используются для подготовки к перехвату сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с идентификатором 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: `Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" \| select -expand ComputerName`.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять. Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с идентификатором 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP. Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений.
DS0009	Процесс: Создание процесса	По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP. Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки `/noconsentPrompt` и `/shadow:`, которые позволяют перехватить сеанс RDP незаметно — без предупреждения пользователя и без завершения текущего сеанса.

Меры противодействия

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.

ID	M1028	Название	Изменение конфигурации ОС	Описание	Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.

ID	M1030	Название	Сегментация сети	Описание	Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Используйте шлюзы для удаленных рабочих столов.

ID	M1042	Название	Отключение или удаление компонента или программы	Описание	Отключите службу RDP, если она не нужна.

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.

ID	Название	Описание
M1018	Управление учетными записями	Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.
M1026	Управление привилегированными учетными записями	По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.
M1028	Изменение конфигурации ОС	Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.
M1030	Сегментация сети	Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.
M1035	Ограничение доступа к ресурсам по сети	Используйте шлюзы для удаленных рабочих столов.
M1042	Отключение или удаление компонента или программы	Отключите службу RDP, если она не нужна.
M1047	Аудит	Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.