通过RDP隧道绕过网络限制

“TerminalServices-LocalSessionManager”日志包含由EID 21标识的成功交互式本地或远程登录事件，以及成功重新连接之前建立的RDP会话，该会话未由EID 25标识的正确用户注销终止。“安全”日志包含由EID 4624标识的10个成功的远程交互式登录(RDP)。记录为本地主机IP地址(127.0.0.1 – 127.255.255.255)的源IP地址表示从侦听本地主机端口路由到本地主机的RDP的隧道登录端口TCP 3389。

检查“plink.exe”文件的执行体。请注意，攻击者可以重命名文件名以避免检测。相关组件包括但不限于：

• 应用程序兼容性缓存/ Shimcache
• Amcache
• Jump列表
• Prefetch
• 服务事件
• CCM最近使用的WMI存储库中的应用程序
• 注册表项

(3) 基于网络的预防：

• 远程连接：需要RDP连接时，强制从指定的跳转框或集中管理服务器启动连接。
• 域帐户：对特权帐户(例如域管理员)和服务帐户使用“拒绝通过远程桌面服务登录”安全设置，因为这些类型的帐户通常被威胁行为者用于横向移动到环境中的敏感系统。

(4) 基于网络的检测：

• 防火墙规则：查看现有防火墙规则，以确定端口转发漏洞的区域。除了可能使用端口转发之外，还应对环境中工作站之间的内部通信进行监控。通常，工作站不需要直接相互通信，并且可以使用防火墙规则来阻止此类通信(除非需要)。
• 网络流量：执行网络流量的内容检查。并非所有在给定端口上通信的流量都是它看起来的流量。例如，威胁行为者可以使用TCP端口80或443与远程服务器建立RDP隧道。深入检查网络流量可能会发现它实际上不是HTTP或HTTPS，而是完全不同的流量。因此，机构应密切监控其网络流量。
• Snort规则：隧道RDP的主要标志，当RDP握手具有通常用于其他协议的指定低源端口。

图5提供了两个示例Snort规则，，可以帮助安全团队通过识别通常用于其他协议的指定低源端口来识别其网络流量中的RDP隧道。

图5：用于识别RDP隧道的Snort规则示例

五、总结

RDP使IT环境能够为用户提供自由和互操作性。但随着越来越多的威胁攻击者使用RDP跨网段横向移动，安全团队正面临着区别合法和恶意RDP流量的挑战。 因此，应采取适当的基于主机和网络的预防和检测方法来主动监控并能够识别恶意RDP使用情况。

【编辑推荐】

1. 十一月份恶意软件之“十恶不赦”排行榜
2. 恶意软件反调试分析的对抗技术
3. 十二月份恶意软件之“十恶不赦”排行榜
4. 越来越多的黑客使用RDP建立网络隧道来绕过安全保护措施
5. 恶意软件太难懂？这份教程送给你

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!