建立遠程桌面協議基準

對於IT人員和Windows用戶來說，Microsoft終端服務遠程桌面協議（RDP）是一個非常好用的工具，可以互動式使用或管理遠程Windows系統。然而，美國網路安全公司Mandian的安全研究人員也觀察到有攻擊者在使用RDP時，利用了受攻擊的域名證書，來進行跨網路攻擊。

要了解攻擊者如何利用RDP，請看以下示意圖。

1.來自人力資源部的一名工作人員無意中通過與釣魚郵件的交互安裝了惡意的後門；

2.後門惡意軟體從Mimikatz運行密碼竊取功能，以獲取存儲在內存中的憑證，用於訪問系統的任何用戶帳戶；

3.後門會為攻擊者的命令和控制(C2)伺服器創建了一個網路通道；

4.攻擊者使用被破壞的憑證，通過網路通道登錄到人力資源管理員的系統；

5.為了獲取財務信息，攻擊者使用Active Directory枚舉命令來標識財務部門使用的基於域的系統；

6.攻擊者使用RDP和受損的人力資源管理員帳戶連接到財務部門的系統；

7.攻擊者使用Mimikatz在財務系統中提取憑證，從而獲得使用系統的財務人員的緩存密碼，以及最近登錄到系統進行故障排除的IT管理員訪問緩存的密碼；

8.使用RDP，攻擊者利用人力資源管理員的帳戶、財務僱員的帳戶和IT管理員僱員的帳戶登錄到環境中的其他系統。

9.攻擊者將數據分類到人力資源管理員的系統；

10.攻擊者通過內置的RDP複製和粘貼功能竊取文件。

用於識別此類活動的最佳做法是建立遠程桌面網路協議基準，要做到這一點，安全研究人員必須首先了解其特定環境的正常行為，然後開始根據意外的模式配置檢測。可以幫助確定基於上述場景的實用檢測技術的問題包括:

1.企業的人力資源工作人員或財務人員會經常使用RDP嗎?

2.企業的人力資源開發人員是否同時在用同一賬號登錄財務系統?

3.企業的人力資源工作人員或財務人員是否同時在使用多個目標系統?

4.企業的人力資源工作人員或財務部門的系統是否被用於RDP的源系統?

5.企業的IT管理員是否是從不屬於IT網路部分的源系統記錄RDP？

6.企業的關鍵伺服器是否有來自不屬於IT網路部分的源系統的登錄?

7.企業的關鍵伺服器是否有來自用戶帳戶的RDP登錄，這些用戶帳戶與企業的人力資源工作人員或財務人員是否相關?

8.是否需要用單個用戶帳戶啟動來自多個源系統的RDP連接?

儘管開發一個自定義的流程來確定用戶帳戶範圍，源系統以及在組織環境中利用RDP的目標系統可能需要一段時間，但對這些數據進行規範化和審核將使公司的員工更深入地了解用戶帳戶行為，以及檢測意外活動。

通過事件日誌跟蹤RDP

第一步是通過使用事件日誌來確定這種網路典型行為，RDP登錄可以在涉及的源和目標系統上生成文件、事件日誌和註冊表構件。「如何通過跟蹤事件日誌檢測感染行為」一文詳細描述了調查人員如何在源和目標系統上發現異常行為。

為了達到發現異常行為的目的，企業的基準方法將重點放在目標系統上記錄的3個高保真登錄事件:

「TerminalServices-LocalSessionManager」日誌中的EID 21和EID 25，通常位於1.「%systemroot%WindowsSystem32winevtLogsMicrosoft-TerminalServices-LocalSessionmanager%3Operational.evtx」；

2.「安全」日誌中通常位於「%systemroot%WindowsSystem32winevtLogsSecurity.evtx」中的EID 4624類型10登錄條目；

當成功的互動式本地或遠程登錄事件發生時，將在目標系統上創建如下圖所示的EID 21條目。

EID 21樣本結構

下圖中所示的EID 25條目是在已經與先前建立的RDP會話系統重新連接的目標系統上創建的，該系統未通過正確的用戶註銷而終止。例如，關閉RDP窗口（它將生成EID 24），而不是通過開始菜單註銷（這將生成EID 23）。

EID 25樣本結構

EID 4624條目是在發生任何類型的登錄時在目標系統上創建的。有關RDP身份驗證的證據，我將重點關注帶有Logon Type 10的EID 4624條目，如下圖所示，這對應於RDP身份驗證。

Logon Type 10的EID 4624樣本結構

這些事件日誌條目提供了從一個系統到另一個系統成功的RDP認證的證據，對於大多數安全團隊來說，要收集這些事件日誌數據，必須將日誌轉發到聚合平台，比如安全信息和事件管理平台(SIEM)平台，或者使用像FireEye的終端安全性(HX)設備這樣的取證工具收集。提取數據後，必須對數據進行處理和堆棧，進行頻率分析（frequency analysis）。這篇文章的贗本都是基於唯一的用戶帳戶，源系統和目標系統生成的日誌數據。

對於EID 21和EID 25，用戶帳戶和源系統在事件日誌字元串中被捕獲，而目標系統是記錄事件的系統。請注意，記錄在日誌中的「源網路地址」可以是主機名或IP地址。你的數據處理器除了會從映射IP地址和主機名中獲取有用的信息外，還能獲得動態主機配置協議(DHCP)。如果你能了解有哪些系統與特定的用戶帳戶或業務單元相關，將極大地有助於分析日誌數據。如果你的企業沒有跟蹤到這些信息，則你應該要求在資產管理資料庫中創建或捕獲該文檔，以實現自動關聯。

識別缺乏一致性

通過對事件日誌的分析，一旦RDP活動在你的環境中被進行了基準化分析，安全分析人員就可以開始識別偏離業務需求和規範化模式的RDP活動。請記住，區分合法和異常的RDP活動可能需要時間。

在將IP地址映射到主機名時，DHCP日誌不僅會被證明是有用的，而且與特定業務單元關聯的系統和用戶帳戶的文檔也可以幫助審查和關聯觀察到的RDP活動的可疑或良性行為。除了檢測與預期不一致的RDP活動外，調查人員可以根據此基準，注意到RDP是否是正常的登錄。

檢測異常的指標

通過使用SIEM關聯技術，分析人員可以按帳戶，源系統和目標系統對RDP活動進行堆棧，以確定以下與指標相關的元素數量，這將加深安全人員對RDP活動的理解:

1.每個用戶帳戶的源系統；

2.每個用戶帳戶的目標系統；

3.每個源系統的用戶帳戶到目標系統的路徑；

4.每個源系統的用戶帳戶；

5.每個目標系統的用戶帳戶。

6.源系統到每個用戶帳戶的目標系統路徑；

7.每個用戶帳戶的RDP登錄總數；

8.每個源系統的RDP登錄總數；

9.每個目標系統的RDP登錄總數；

10.每個源系統的目標系統；

11.每個目標系統的源系統；

這個指標列表並不詳盡，如果需要，可以通過包含時間戳的元數據進行擴展。

總結

雖然基準RDP活動可能不易識別威脅演員不利用這種技術,或採取額外的步驟融入合法的用戶活動,它會不斷地幫助分析師更好地理解在其特定環境中正常行為是什麼樣子,可能最終確定異常或未經授權的活動的潛在指標。

下面的建議可以幫助你最大限度地提高RDP基線練習的有效性，同時還可以減少你的環境中攻擊者使用RDP的機會：

1.禁用終端用戶工作站和筆記本電腦上的遠程桌面服務，以及不需要服務遠程連接的系統。

2.如果需要使用RDP連接，則需要結合主機和基於網路的控制項，以確保RDP連接必須從特定的跳轉盒和集中管理伺服器啟動，以便遠程連接到終端。

3.基於主機的防火牆規則明確禁止了入站RDP連接所提供的保護，特別是對於那些可能在組織管理基礎設施之外的位置使用其系統的遠程用戶。使用基於主機的防火牆規則:

3.1.默認拒絕入站RDP連接；

3.2.當需要時，根據需要明確允許僅與來自與授權跳轉框相關的IP地址的入站RDP；

4.使用「拒絕登錄遠程桌面服務」安全設置，以防止標準用戶使用RDP連接到終端。

理想情況下，該設置還應該禁止RDP訪問終端上的特權帳戶(例如域管理員、服務帳戶)，因為攻擊者通常會利用這些類型的帳戶橫向移動到環境中的其他敏感系統。

5.通過以下方式阻止本地帳戶使用RDP:

5.1.安裝KB2871997，並將SID 「S-1-5-114: NT AUTHORITYLocal account and member of Administrators group」添加到「拒絕通過遠程桌面服務」的終端上的安全設置，這可以通過使用組策略來實現。

5.2.使用諸如Microsoft LAPS這樣的解決方案，將內置的本地管理員帳戶的密碼隨機化。

6.確保在 「TerminalServices LocalSessionManager Operational」 事件日誌內的EID 21、EID 23、EID 24和EID 25被捕獲並轉發到SIEM或日誌聚合器。

7.確認在「安全」事件日誌內的EID 4624被捕獲並轉發到SIEM或日誌聚合器。

8.將「TerminalServices LocalSessionManager Operational」和事件日誌的最大容量增加到至少500 MB，這樣就可以通過使用組策略首選項(GPP)來修改註冊表項「HKLM Microsoft MicrosoftWindowsCurrentVersion microsoftwindows - terminalservice -LocalSessionManager/操作」中的「MaxSize」註冊表值。

9.將「安全」事件日誌的最大容量增加到至少1GB。

10.對被清除(EID 1102)的「安全」和 「TerminalServices LocalSessionManager Operational」 事件日誌進行監控。

11.創建並定期更新將用戶帳戶和主機名映射到業務單元的文檔。

12.確保DHCP日誌被存檔，並且在登錄事件的時候可以很容易地將源系統IP地址與它們的主機名關聯起來。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！