远程桌面协议(RDP)是目前比较流行的远程控制系统通信协议之一,适用于目前大多数Windows操作系统,通过提供图形用户界面,允许用户远程访问服务器或其他计算机。微软甚至将其定位为管理运行Windows系统的Azure虚拟机的默认方法。由于RDP是一种非常流行的协议,一旦获得访问权限,攻击者就会使用它来转移到其他系统,因此RDP也成功地引起了攻击者的注意。因为他们意识到使用像RDP这样的远程访问工具比利用不能保证获胜的漏洞效率要高得多——只需获得正确的凭据即可访问公司网络。根据最近的一份X-Force报告,窃取访问这些系统的凭据是暗网上最有利可图的业务之一,但这些直接暴露的服务器并不是攻击者使用(或滥用)RDP的唯一系统。一是融入常规交通。RDP是如何工作的?在深入研究RDP威胁和防御之前,最好了解它的工作原理。RDP是一种双向通信协议。它可以将服务器的屏幕输出传输到客户端;将键盘和鼠标输入从客户端传输到服务器;这个过程是不对称的,因为大部分的数据是从服务器到客户端的,但是客户端返回的数据很少很少。客户端和服务器必须经过几个阶段才能建立通信。客户端连接后,它同意服务器使用设置(如屏幕分辨率)、支持的功能和许可证信息。然后他们就RDP安全类型达成一致,并从两种支持的模式中进行选择:一种是标准模式,基于RC4;另一种是增强模式,RDP依赖于其他协议,例如TLS或CredSSP。最后,客户端和服务器必须就所需的通道数达成一致。所谓通道就是一个单独的数据流,每个数据流都有自己的ID,这样就形成了远程桌面协议。这些通道可以重定向对文件系统的访问,或启用客户端和服务器之间的剪贴板共享。RDP相关漏洞与APT组织BlueKeep2019年,研究人员在RDP中发现了一个名为“BlueKeep”的关键漏洞,利用该漏洞(CVE-2019-0708)可以在不需要用户任何操作的情况下远程执行随机代码,并且无需有效证书。这些事实的结合可能会导致蠕虫——可以在易受攻击的系统中传播自身的恶意软件。几年前出现的Wanncry恶意软件也出现了类似情况。BlueKeep的一个显着特点是它可以连接到旧的Windows系统。这迫使微软采取奇怪的步骤,为它不再支持的系统版本制作新补丁。DejaBlue2019年8月,研究人员公布了DejaBlue——不是一个漏洞,而是一系列漏洞,类似于BlueKeep,允许攻击者在没有任何形式的身份验证的情况下劫持易受攻击的系统。与BlueKeep不同,DejaBlue的漏洞存在于较新版本的Windows中。有时攻击者不需要滥用漏洞,而只是利用错误配置来执行攻击。RDP安全性中的一些常见风险包括:用户登录凭据薄弱;无法记录或监控RDP登录服务器的行为,这些系统允许攻击者随意尝试暴力或密码喷射攻击;没有任何网络过滤的公开系统。经常使用RDP进行攻击的组织包括:APT41、FIN6、FIN7等组织使用RDP进行横向移动;FLIPSIDE等组织使用RDP窃取信息。例如,Ngrok是一个合法的反向代理,可以通过RDP隧道流量来泄露受害者数据;WannaCry恶意软件可以在现有的远程桌面会话中执行恶意软件,这种“窃取”会话通常称为“RDP劫持”。防范建议虽然存在很多安全隐患,但是RDP仍然可以为我们提供很多的价值。在保护远程桌面服务器时,需要考虑许多关键因素。首先,补丁管理是基础,确保系统始终处于最新状态,尤其是对于关键的远程访问服务,这是不言而喻的。其次,大多数时候,组织不需要向世界公开RDP,组织可以使用防火墙、IP限制、通过虚拟专用网络限制访问,或者使用即时访问,后者大大降低了风险并确保组织始终可以在他们需要时访问服务。同样,请确保不要为启用RDP的帐户使用易于猜测的密码。如果不需要,不允许远程访问所有系统用户。此外,实施某种形式的自动帐户锁定以防止攻击者通过暴力猜测密码是非常有意义的。组织可能还需要启用网络级别身份验证或NLA——一种防止意外访问RDP隧道的缓解措施。监控和取证工件无论组织的RDP设置多么安全,攻击者总会有机可乘。此时,组织需要依靠日志记录和监控来分析正在发生的事情。RDP取证工件的重要来源包括:命令quser、qwinsta和qprocess提供有关RDP用户、会话和进程的信息;Microsoft-Windows-Terminal-Services-RemoteConnectionManager和Windows-TerminalServices-LocalSessionManager通知客户端网络连接以及RDP会话的开始和结束;最后,Microsoft-Windows-Security-Auditing包括成功或失败的身份验证尝试的事件。虽然RDP确实存在许多风险,而且攻击者对远程访问工具越来越感兴趣,但这并不意味着组织无法以安全和受控的方式部署它们。考虑到上述预防措施并有适当的日志记录和监控策略的组织应该没问题。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
