远程桌面协议(Remote Desktop Protocol,简称RDP)是用于远程控制系统较流行的通信协议之一,适用于当前大多数Windows通过提供图形用户界面,操作系统允许用户远程访问服务器或其他计算机。Microsoft甚至将其定位为管理操作Windows系统Azure虚拟机的默认方法。
由于RDP攻击者一旦获得访问权限,就会将其转移到其他系统,因此,RDP它也成功地吸引了攻击者的注意。因为他们意识到,与使用不确定的漏洞相比,使用它们RDP这种远程访问工具明显更高效——访问企业网络只需获得正确的证据。
根据最近的X-Force报告称,窃取访问这些系统的凭证是暗网上最赚钱的业务之一,但这些直接暴露的服务器并不是攻击者使用的(或滥用)RDP他们唯一的目标之一就是融入常规流量。
RDP如何运行?
在深入探讨RDP在威胁和防御之前,最好先了解它是如何工作的。RDP这是一个双向通信协议。它可以将服务器的屏幕输出传输到客户端;将键盘和鼠标的输入内容从客户端传输到服务器;这个过程是不对称的,因为大多数数据从服务器到客户端,但客户返回的数据很少。客户端和服务器必须经历多个阶段才能建立通信。
连接到客户端后,与服务器使用设置(如屏幕分辨率)、支持功能和许可信息达成一致。RDP安全类型达成一致,并从两种支持模式中选择:一是基于标准模式的标准模式RC4;二是增强模式,其中RDP依赖其他协议,如TLS或CredSSP。
最后,客户端和服务器必须就所需的通道数量达成一致。所谓的通道是单独的数据流,每个数据流都有自己的数据流ID,从而形成远程桌面协议。这些通道可以重定向访问文件系统,或者在客户端和服务器之间共享剪贴板。
RDP相关漏洞及APT组织
BlueKeep
2019年,研究人员发现了RDP其中一个关键漏洞被称为“BlueKeep”,利用该漏洞(CVE-2019-0708)无需用户执行任何操作,无需有效凭证,即可远程执行随机代码。这些事实可能会导致蠕虫——恶意软件可以在易受攻击的系统之间自我传播。几年前出现的Wanncry类似的事情发现在恶意软件中。BlueKeep显著的特点是它可以连接到老的Windows系统。这迫使微软采取奇怪的步骤为其不再支持的系统版本制作新的补丁。
DejaBlue
20198月,研究人员宣布DejaBlue——它不是一个漏洞,而是一系列类似的漏洞BlueKeep,允许攻击者劫持易受攻击的系统,而无需任何形式的身份验证。BlueKeep不同的是,DejaBlue位于更新版本的漏洞Windows中。有时,攻击者不需要滥用漏洞,只需要简单地使用配置错误。RDP一些常见的安全风险包括:弱用户登录凭证;不正确RDP记录或监控登录服务器的行为,允许攻击者随意尝试蛮力或密码喷射攻击;未经任何网络过滤公开暴露的系统。
经常利用RDP攻击组织包括:APT41、FIN6、FIN7等组织使用RDP横向移动;FLIPSIDE等组织使用RDP以窃取信息为例,Ngrok 是一个合法的反向代理,可以通过RDP流量隧道化渗漏受害者数据;WannaCry恶意软件可以在现有的远程桌面对话中执行恶意软件,这种对话“窃取”行为通常称为“RDP劫持”。
防范建议
虽然安全风险很多,但是RDP它仍然可以为我们提供很多价值。许多关键因素需要考虑来保护远程桌面服务器。
首先,补丁管理是确保系统始终保持最新状态的基础,特别是对于关键的远程访问服务。其次,在大多数情况下,组织不需要向世界公开RDP,防火墙可用于组织,IP通过虚拟专用网络限制访问或使用即时访问,大大降低了风险,确保组织在需要时随时访问服务。第三,确保不要使用它RDP帐户使用易于猜测的密码。不允许远程访问所有系统用户。
此外,实现某种形式的自动账户锁定非常有意义,可以防止攻击者通过暴力破解来猜测密码。该组织还可能需要使用网络级身份验证或NLA——这是一种预防措施RDP隧道的意外访问。
监控和取证工件
无论组织的RDP总会有攻击者抓住机会。此时,组织需要依靠日志记录和监控来分析正在发生的事情。
RDP取证工件的重要来源包括:命令quser、qwinsta和qprocess提供有关RDP用户、会话和过程信息;Microsoft-Windows-Terminal-Services-RemoteConnectionManager和Windows-TerminalServices-LocalSessionManager通知客户端网络连接RDP会话的开始和结束; 最后,Microsoft-Windows-Security-Auditing包括成功或失败的认证尝试。
尽管RDP有很多风险,攻击者对远程访问工具越来越感兴趣,但这并不意味着组织不能以安全和可控的方式部署它们。如果组织充分考虑上述预防措施,并制定足够的日志记录和监控策略,应取得良好的效果。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章