ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1076

术语表: /attack/glossary

远程桌面协议

远程桌面是操作系统中的一个常见功能。它允许用户使用远程系统上的系统桌面图形用户界面登录到交互式会话。Microsoft 将其远程桌面协议 (Remote Desktop Protocol, RDP) 的实现称为远程桌面服务 (Remote Desktop Services, RDS)。还有其他实现和第三方工具提供类似于 RDS 的图形化远程服务访问。

如果启用了该服务并允许访问具有已知凭据的帐户,则攻击者可以通过 RDP/RDS 连接到远程系统以扩展访问。­攻击者可能会使用凭据访问技术来获取与 RDP 结合使用的凭据。攻击者也可以将 RDP 与可访问性特性技术 (Accessibility Features) 结合使用以实现持久性。

攻击者也可以执行 RDP 会话劫持,包括窃取合法用户的远程会话。通常,当其他人试图窃取用户的会话时,(系统)会通知用户并提出一个问题。有了系统权限,攻击者可以使用终端服务控制台 c:32.exe[会话号被窃取] 劫持会话而不需要凭据,也没有给用户的提示。这可以结合活动会话或已断开的会话远程或本地完成。它还可以通过窃取域管理员或更高权限的帐户会话来导致远程系统发现和权限升级。所有这些都可以通过使用本机 Windows 命令来完成,但 RedSnarf 也有这个功能。

缓解

如果不需要,禁用 RDP 服务,从远程桌面用户组中删除不必要的帐户和组,并启用防火墙规则以阻止网络安全区之间的 RDP 通信。 定期审核远程桌面用户组成员身份。 从允许通过 RDP 登录的组列表中删除本地管理员组。 如果需要远程访问,请限制远程用户权限。 远程登录使用远程桌面网关和多因素身份验证。 不允许通过 Internet 访问 RDP。 更改 GPO 以定义更短的超时会话和任何单个会话处于活跃状态最长时间。 更改 GPO 以指定断开的会话在 RD 会话主机服务器上保持活跃状态的最长时间。

检测

RDP 的使用可能是合法的,具体取决于网络环境及其使用方式。 其他因素可以表明 RDP 存在可疑或恶意行为,如远程登录后发生的访问模式和活动, 监视登录到系统且通常不会访问系统的用户,还有在较短的时间内访问多个系统的模式。 另外,启动进程监控 tscon.exe 的使用,并监控在其参数中使用 cmd.exe /kcmd.exe /c 的服务创建,以防止 RDP 会话劫持。