Aktif Bir Düşman Özel Raporu


Dolandırıcılık Yönetimi ve Siber Suçlar, Ağ Tespiti ve Müdahale, Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü

RDP nedir, neden olaylara müdahalede neredeyse her yerde bulunan bir bulgudur ve soruşturmacılar yanlış gittiğinde bunu nasıl sonlandırabilirler? Aktif Bir Düşman Özel Raporu

Lee Kirkpatrick •
4 Nisan 2024

Uzak Masaüstü Protokolü: Aktif Bir Düşman Özel Raporu

Uzak Masaüstü Protokolü (RDP), Microsoft tarafından kullanıcıların, yöneticilerin ve diğerlerinin kullanışlı bir grafik kullanıcı arabirimi (GUI) kullanarak bir ağ bağlantısı üzerinden uzak bilgisayarlara bağlanmasına olanak sağlamak için geliştirilmiştir. Bunun için gerekli araçlar Microsoft Windows'ta standart olarak gelir; Bir RDP bağlantısı başlatmak ve kurmak için bunu yapmak için gereken tüm araçlar varsayılan olarak mevcuttur. Bu nedenle RDP, kullanıcılar ve yöneticiler tarafından ağlarda uzak makinelere erişmek için yaygın olarak kullanılıyor.

Ayrıca bakınız: Her Kimlik Risk Altındayken Nereden Başlamalısınız?

Ne yazık ki, fidye yazılımı grupları tarafından da yaygın olarak suiistimal ediliyor – o kadar yaygın ki, düzenli Aktif Rakip Raporlarımızda editörlerimiz, diğer bulguların bile görülebilmesi için RDP'yi grafiklerde farklı şekilde ele almak zorunda kalıyor. Sophos Aktif Düşman Raporu ekibinin son birkaç yılda topladığı olay-müdahale verilerine göre RDP'nin kötüye kullanımı artıyor. En son Aktif Düşman Raporunda, RDP'nin artık yüzde 90 sınırını aştığını göreceksiniz; yani 10 IR vakasından dokuzunda RDP'nin kötüye kullanımı yer alıyor.

RDP ile ilgilenmek isteyen yöneticilere ve müdahale ekiplerine bağlam ve tavsiye sağlamak amacıyla, videolar, ek bilgiler içeren yardımcı makaleler ve GitHub depomuzda ek komut dosyaları ve bilgilerden oluşan bir takımdan oluşan eksiksiz bir kaynak paketi yayınlıyoruz. Bunu hem Active Adversary ekibimizin araştırmasını yayınladığımız olağan uzun formlu raporların ötesinde paylaşmak, hem de infosec'in daha sinir bozucu kronik rahatsızlıklarından biriyle başa çıkmak için yararlı bir kaynak seti olmasını umduğumuz şeyi sağlamak için yapıyoruz.

Saldırganın bakış açısından RDP'yi hedeflemek doğal bir seçimdir. En önemlisi, tipik kullanıcı ve yönetim davranışına uyum sağlayan, Microsoft tarafından sağlanan bir araçtır (yani, arazi dışında yaşayan bir ikili program veya LOLBin). Kimse dikkat etmiyorsa, tek başına kullanımı dikkat çekmeye uygun değildir ve bir saldırganın, EDR veya diğer izinsiz giriş önleme araçları tarafından algılanabilecek ek araçlar getirmesine gerek yoktur. RDP ayrıca, saldırganların sızma amacıyla dosyalara göz atması ve çeşitli uygulamaları kurup kullanması için beceri engelini azaltan nispeten hoş bir grafik kullanıcı arayüzüne de sahiptir.

Saldırganlar ayrıca RDP'nin bir ortamda hem sunucularda hem de ara sıra uç noktalarda sıklıkla yanlış yapılandırıldığını veya yanlış kullanıldığını da biliyor. Bu RDP koleksiyonundaki bir sonraki makale, bu tür maruz kalmanın ne kadar yaygın olduğunu ve RDP'nin olağan 3389 bağlantı noktasını kapatmak gibi önlemlerin bir fark yaratıp yaratmadığını ele alıyor.

Kasvetli RDP resmini tamamlayarak, ayırma eksikliği, zayıf kimlik bilgilerinin kullanılması, NLA (ağ düzeyinde kimlik doğrulama) gibi potansiyel korumaların (yöneticiler tarafından) devre dışı bırakılması ve en az aşağıdaki gibi en iyi uygulamaların açıkça göz ardı edilmesi gibi kendine ait sorunlar görüyoruz. ayrıcalık. İşin iyi tarafı, eğer nereye bakacağınızı biliyorsanız, RDP'nin ağınızda tam olarak nasıl kullanıldığına dair harika bilgiler verebilecek yararlı, sağlam sorgular vardır.

Bu nedenle, RDP ile ilgilenmek isteyen yöneticilere ve müdahale ekiplerine bağlam ve tavsiye sağlamak için, tam bir kaynak paketiyle başlıyoruz – altı video, ek bilgiler içeren altı tamamlayıcı makale ve GitHub'umuzda ek komut dosyaları ve bilgilerden oluşan bir takım – zamanla olayların gerektirdiği şekilde daha fazlası eklenecektir.

Daha fazla bilgi edinmek için Sophos Aktif Rakip Raporu 2024'ün 1. Yarısını ziyaret edin



Source link