T1563.002: Перехват сессии удаленного рабочего стола

Злоумышленники могут перехватить сессию удаленного рабочего стола легитимного пользователя для перемещения внутри периметра. Удаленный рабочий стол — распространенная функция в операционных системах. Она позволяет использовать графический интерфейс рабочего стола удаленной системы в интерактивном режиме. В реализации Microsoft протокол удаленного рабочего стола (RDP) называется "службы удаленных рабочих столов (RDS)".

Злоумышленники могут перехватить удаленную сессию RDP легитимного пользователя. Обычно пользователь видит уведомление, если кто-то другой пытается захватить его сессию. Злоумышленник, имеющий разрешения уровня SYSTEM, может перехватить сессию без ведома пользователя и необходимости предоставления учетных данных с помощью консоли служб удаленных рабочих столов — командой c:\windows\system32\tscon.exe [номер захватываемой сессии]. Это можно сделать удаленно или локально как для активных сессий, так и для тех, к которым не подключены пользователи. Также эта техника может позволить реализовать технику Изучение удаленных систем и повысить привилегии, если злоумышленник перехватит сессию администратора домена или более привилегированной учетной записи. Все это можно сделать с помощью встроенных команд Windows, но такие функции также включаются в инструменты пентестеров.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mitre_attck_collection: PT-CR-783: RDP_Shadow_Session: Теневое RDP-подключение mitre_attck_lateral_movement: PT-CR-787: RDP_Shadow_Session_Initiation: Обнаружен запуск утилиты mstsc.exe с флагом /shadow для создания теневого RDP-подключения mitre_attck_lateral_movement: PT-CR-227: RDP_Session_Hijacking: Обнаружен запуск утилиты "tscon", позволяющий выполнить перехват сеанса RDP hacking_tools: PT-CR-2134: SharpToken_Usage: Использован инструмент SharpToken, который ищет утечки токенов во всех процессах системы и эксплуатирует их. Если злоумышленники получили доступ к учетной записи с низким уровнем привилегий, этот инструмент позволит им повысить привилегии до "NT AUTHORITY\SYSTEM". Также с помощью SharpToken можно захватить интерактивный сеанс пользователя

Способы обнаружения

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте создание служб с помощью команд с аргументами cmd.exe /k или cmd.exe /c, чтобы обнаружить перехват сеанса RDP. Для отслеживания команд, которые используются для подготовки к перехвату сессии удаленного рабочего стола, рекомендуется включить регистрацию событий Windows PowerShell с идентификатором 4104 (выполнение сценария PowerShell), в которые записывается содержимое блоков сценариев PowerShell. Например, в блоке сценариев PowerShell может быть прописана следующая команда, позволяющая получить список подключенных к сети систем с RDP-доступом: Find-DomainLocalGroupMember -GroupName "Remote Desktop Users" | select -expand ComputerName.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). С помощью фреймворков сетевого анализа, таких как Zeek, можно настроить запись, декодирование и уведомление о сетевых протоколах, в том числе RDP.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. RDP-сессии могут быть разделены на несколько потоков, поэтому их необходимо объединять.

Обнаружение аномалий с помощью машинного обучения или других методов сравнения с профилем типовых сетевых потоков RDP может стать эффективным способом оповещения о потенциальном перехвате RDP-сессий.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Использование RDP может быть легитимным в зависимости от особенностей сетевой среды. На подозрительное или вредоносное поведение, связанное с RDP, могут указывать другие факторы, такие как необычные попытки доступа и действия после удаленного входа. Событие в журнале безопасности Windows с идентификатором 4624 (вход с учетной записью выполнен успешно) генерируется при входе пользователя на удаленную машину с помощью RDP.

Сопоставление событий создания сессий входа в систему с сетевыми потоками RDP может помочь лучше понять действия, связанные с RDP, и служить основой для анализа подозрительных RDP-соединений.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

По возможности отслеживайте процесс tscon.exe. Для перехвата сеанса RDP с помощью tscon.exe требуются права учетной записи SYSTEM. Поэтому рекомендуется также отслеживать техники повышения привилегий, которые могут сочетаться с перехватом сеансов RDP.

Помимо tscon.exe, для перехвата текущих сеансов RDP аналогичным образом может использоваться процесс mstsc.exe. В этом случае рекомендуется отслеживать параметры командной строки /noconsentPrompt и /shadow:, которые позволяют перехватить сеанс RDP незаметно — без предупреждения пользователя и без завершения текущего сеанса.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права удаленных пользователей, если необходимо использовать удаленный доступ.

IDM1026НазваниеУправление привилегированными учетными записямиОписание

По возможности удалите группу локальных администраторов из списка групп, которым разрешено входить в систему через RDP.

IDM1028НазваниеИзменение конфигурации ОСОписание

Измените GPO, чтобы определить более короткие тайм-ауты сеансов и максимальное количество времени, в течение которого может быть активен один сеанс. Измените GPO, чтобы указать максимальное время, в течение которого отключенный сеанс остается активным на сервере-хосте сеанса удаленного рабочего стола.

IDM1030НазваниеСегментация сетиОписание

Включите правила межсетевого экрана, чтобы блокировать трафик RDP между зонами безопасности в сети.

IDM1035НазваниеОграничение доступа к ресурсам по сетиОписание

Используйте шлюзы для удаленных рабочих столов.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите службу RDP, если она не нужна.

IDM1047НазваниеАудитОписание

Регулярно проверяйте членство в группе пользователей удаленных рабочих столов. Удалите ненужные учетные записи и группы из групп пользователей удаленных рабочих столов.