完美世界辰东小说下载,盗墓笔记全集,怎么写网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

通過RDP隧道繞過網(wǎng)絡(luò)限制

遠程桌面服務(wù)是Microsoft Windows的一個組件，各個公司都使用它來為系統(tǒng)管理員、工程師和遠程員工提供便利。另一方面，遠程桌面服務(wù)，特別是遠程桌面協(xié)議(RDP)，在目標系統(tǒng)感染期間為遠程威脅行為者提供了同樣的便利。當先進的威脅行為者建立立足點并獲得充足的登錄憑據(jù)時，他們可能會從后門切換到使用直接RDP會話進行遠程訪問。當惡意軟件從目標機中移除時，入侵變得越來越難以檢測。

我們提供的服務(wù)有：成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認證、頭屯河ssl等。為1000多家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學管理、有技術(shù)的頭屯河網(wǎng)站制作公司

一、RDP可避開規(guī)則

與非圖形后門相比，威脅行為者更喜歡RDP的穩(wěn)定性和功能性優(yōu)勢，但這可能會在系統(tǒng)上留下不必要的痕跡。由此，F(xiàn)ireEye觀察到使用本機Windows RDP程序的威脅行為者在受感染環(huán)境中跨系統(tǒng)進行橫向連接。從歷史上看，受防火墻和NAT規(guī)則保護的非暴露系統(tǒng)通常被認為不容易受到入站RDP嘗試的影響;然而，威脅行為者越來越多地開始使用網(wǎng)絡(luò)隧道和基于主機的端口轉(zhuǎn)發(fā)來破壞這些企業(yè)控制策略。

網(wǎng)絡(luò)隧道和端口轉(zhuǎn)發(fā)利用防火墻“針孔”(不受防火墻保護的端口，允許應(yīng)用程序訪問受防火墻保護的網(wǎng)絡(luò)中的主機上的服務(wù))與被防火墻阻止的遠程服務(wù)器建立連接。一旦通過防火墻建立了與遠程服務(wù)器的連接，該連接就可以用作傳輸機制，通過防火墻發(fā)送或“隧道”本地偵聽服務(wù)(位于防火墻內(nèi))，使遠程服務(wù)器可以訪問它們(位于防火墻外面)，如圖1所示。

圖1：使用RDP和SSH網(wǎng)絡(luò)隧道繞過企業(yè)防級火墻的示例

二、入站RDP通道

用于隧道RDP會話的常用實用程序是PuTTY Link，通常稱為Plink。Plink可用于使用任意源和目標端口與其他系統(tǒng)建立安全shell(SSH)網(wǎng)絡(luò)連接。由于許多IT環(huán)境要么不執(zhí)行協(xié)議檢查，要么不阻止從其網(wǎng)絡(luò)出站的SSH通信，因此FIN8等攻擊者使用Plink創(chuàng)建加密隧道，允許受感染系統(tǒng)上的RDP端口與攻擊者命令和控制進行通信(C2 )服務(wù)器。

圖2提供了使用Plink創(chuàng)建的成功RDP隧道的示例，圖3提供了使用來自攻擊者C2服務(wù)器的端口轉(zhuǎn)發(fā)建立隧道進行通信的示例。

圖2：使用Plink創(chuàng)建的成功RDP隧道示例

圖3：從攻擊者C2服務(wù)器到受害者的成功端口轉(zhuǎn)發(fā)示例

應(yīng)該注意的是，對于能夠?qū)ο到y(tǒng)進行RDP的攻擊者，他們必須已經(jīng)能夠通過其他方式訪問系統(tǒng)，以便創(chuàng)建或訪問必要的隧道程序。例如，攻擊者的初始系統(tǒng)感染可能是從網(wǎng)絡(luò)釣魚電子郵件中釋放有效載荷的結(jié)果，旨在建立立足點進入環(huán)境，同時獲取憑據(jù)以提升權(quán)限。 RDP隧道進入受感染環(huán)境是攻擊者通常用于維護其在環(huán)境中存在的眾多訪問方法之一。

三、跳轉(zhuǎn)框Pivoting

RDP不僅是外部訪問受感染系統(tǒng)的完美工具，RDP會話還可以跨多個系統(tǒng)進行菊花鏈連接，以便在環(huán)境中橫向移動。 FireEye觀察到使用Windows Network Shell(netsh)命令的威脅行為者利用RDP端口轉(zhuǎn)發(fā)作為訪問新發(fā)現(xiàn)網(wǎng)段的方式，該網(wǎng)段僅通過管理跳轉(zhuǎn)框可到達。

例如，威脅行為者可以配置跳轉(zhuǎn)框以在任意端口上偵聽從之前受感染系統(tǒng)發(fā)送的流量。然后，流量將通過跳轉(zhuǎn)框直接轉(zhuǎn)發(fā)到分段網(wǎng)絡(luò)上的任何系統(tǒng)，使用任何指定端口，包括默認RDP端口TCP 3389。這種類型的RDP端口轉(zhuǎn)發(fā)為威脅行為者提供了一種利用跳轉(zhuǎn)框允許的網(wǎng)絡(luò)路由的方法，在正在進行的RDP會話期間不會中斷正在使用跳轉(zhuǎn)框的合法管理員。圖4提供了通過管理跳轉(zhuǎn)框到分段網(wǎng)絡(luò)的RDP橫向移動的示例。

圖4：使用跳轉(zhuǎn)框通過RDP進行橫向移動到分段網(wǎng)絡(luò)

四、預(yù)防和檢測RDP

如果啟用了RDP，威脅行為者可以通過隧道或端口轉(zhuǎn)發(fā)來橫向移動并保持在環(huán)境中的存在。為了減輕漏洞并檢測這些類型的RDP攻擊，機構(gòu)應(yīng)該關(guān)注基于主機和基于網(wǎng)絡(luò)的預(yù)防和檢測機制。有關(guān)其他信息，請參閱FireEye博客文章(establishing a baseline for remote desktop protocol)。

1. 基于主機的預(yù)防：

遠程桌面服務(wù)：在不需要遠程連接服務(wù)的所有用戶工作站和系統(tǒng)上禁用遠程桌面服務(wù)。
基于主機的防火墻：啟用基于主機的防火墻規(guī)則，明確拒絕入站RDP連接。
本地帳戶：通過啟用“拒絕通過遠程桌面服務(wù)登錄”安全設(shè)置，防止在工作站上使用本地帳戶使用RDP。

2. 基于主機的檢測：

(1) 注冊表：

查看與Plink連接關(guān)聯(lián)的注冊表項，這些連接可被RDP會話隧道濫用以識別唯一的源和目標系統(tǒng)。默認情況下，PuTTY和Plink都會在Windows系統(tǒng)上的以下注冊表項中存儲會話信息和之前連接的ssh服務(wù)器：
HKEY_CURRENT_USER\Software\SimonTatham\PuTTY
HKEY_CURRENT_USER\SoftWare\SimonTatham\PuTTY\SshHostKeys

同樣，使用以下Windows注冊表項存儲使用netsh創(chuàng)建PortProxy配置：

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov4

收集和查看這些注冊表項可以識別合法的SSH和意外的隧道活動，當然需要進一步審查以確認其目的。

(2) 事件日志：

查看高真登錄事件的事件日志。常見的RDP登錄事件包含在Windows系統(tǒng)上的以下事件日志中：

%systemroot%\Windows\System32\winevt\Logs\Microsoft-TerminalServices-LocalSessionmanager%3Operational.evtx
%systemroot%\Windows\System32\winevt\Logs\Security.evtx

“TerminalServices-LocalSessionManager”日志包含由EID 21標識的成功交互式本地或遠程登錄事件，以及成功重新連接之前建立的RDP會話，該會話未由EID 25標識的正確用戶注銷終止?！鞍踩比罩景蒃ID 4624標識的10個成功的遠程交互式登錄(RDP)。記錄為本地主機IP地址(127.0.0.1 – 127.255.255.255)的源IP地址表示從偵聽本地主機端口路由到本地主機的RDP的隧道登錄端口TCP 3389。

檢查“plink.exe”文件的執(zhí)行體。請注意，攻擊者可以重命名文件名以避免檢測。相關(guān)組件包括但不限于：

應(yīng)用程序兼容性緩存/ Shimcache
Amcache
Jump列表
Prefetch
服務(wù)事件
CCM最近使用的WMI存儲庫中的應(yīng)用程序
注冊表項

(3) 基于網(wǎng)絡(luò)的預(yù)防：

遠程連接：需要RDP連接時，強制從指定的跳轉(zhuǎn)框或集中管理服務(wù)器啟動連接。
域帳戶：對特權(quán)帳戶(例如域管理員)和服務(wù)帳戶使用“拒絕通過遠程桌面服務(wù)登錄”安全設(shè)置，因為這些類型的帳戶通常被威脅行為者用于橫向移動到環(huán)境中的敏感系統(tǒng)。

(4) 基于網(wǎng)絡(luò)的檢測：

防火墻規(guī)則：查看現(xiàn)有防火墻規(guī)則，以確定端口轉(zhuǎn)發(fā)漏洞的區(qū)域。除了可能使用端口轉(zhuǎn)發(fā)之外，還應(yīng)對環(huán)境中工作站之間的內(nèi)部通信進行監(jiān)控。通常，工作站不需要直接相互通信，并且可以使用防火墻規(guī)則來阻止此類通信(除非需要)。
網(wǎng)絡(luò)流量：執(zhí)行網(wǎng)絡(luò)流量的內(nèi)容檢查。并非所有在給定端口上通信的流量都是它看起來的流量。例如，威脅行為者可以使用TCP端口80或443與遠程服務(wù)器建立RDP隧道。深入檢查網(wǎng)絡(luò)流量可能會發(fā)現(xiàn)它實際上不是HTTP或HTTPS，而是完全不同的流量。因此，機構(gòu)應(yīng)密切監(jiān)控其網(wǎng)絡(luò)流量。
Snort規(guī)則：隧道RDP的主要標志，當RDP握手具有通常用于其他協(xié)議的指定低源端口。

圖5提供了兩個示例Snort規(guī)則，可以幫助安全團隊通過識別通常用于其他協(xié)議的指定低源端口來識別其網(wǎng)絡(luò)流量中的RDP隧道。

圖5：用于識別RDP隧道的Snort規(guī)則示例

五、總結(jié)

RDP使IT環(huán)境能夠為用戶提供自由和互操作性。但隨著越來越多的威脅攻擊者使用RDP跨網(wǎng)段橫向移動，安全團隊正面臨著區(qū)別合法和惡意RDP流量的挑戰(zhàn)。因此，應(yīng)采取適當?shù)幕谥鳈C和網(wǎng)絡(luò)的預(yù)防和檢測方法來主動監(jiān)控并能夠識別惡意RDP使用情況。

名稱欄目：通過RDP隧道繞過網(wǎng)絡(luò)限制
網(wǎng)頁網(wǎng)址：http://www.fisionsoft.com.cn/article/dhpoigs.html

新聞中心

其他資訊