教你如何防範遠端桌面協議(RDP)的安全威脅

導讀	由於RDP是一種非常流行的協議，攻擊者一旦獲取訪問許可權，就會使用其轉移到其他系統，所以，RDP也成功吸引了攻擊者的目光。

遠端桌面協議(Remote Desktop Protocol，簡稱RDP)是用於遠端控制系統較流行的通訊協議之一，適用於當前大多數Windows作業系統，通過提供圖形使用者介面，允許使用者遠端訪問伺服器或其他計算機。Microsoft甚至將其定位為管理執行Windows系統Azure虛擬機器的預設方法。

由於RDP是一種非常流行的協議，攻擊者一旦獲取訪問許可權，就會使用其轉移到其他系統，所以，RDP也成功吸引了攻擊者的目光。因為他們意識到，相較於利用沒有必勝把握的漏洞，使用RDP這種遠端訪問工具明顯更加高效——只需獲得正確的憑據即可訪問企業網路。

根據最近的X-Force報告，竊取訪問這些系統的憑據是暗網上利潤最可觀的生意之一，不過，這些直接暴露的伺服器並不是攻擊者使用(或者說濫用)RDP的唯一系統，他們的目標之一是融入常規流量。

在深入探討RDP威脅和防禦之前，最好先了解一下它是如何執行的。RDP是一個雙向通訊協議。它可以將伺服器的螢幕輸出傳輸到客戶端;將鍵盤和滑鼠的輸入內容從客戶端傳輸到伺服器;這個過程是非對稱的，因為大多數資料都是從伺服器到客戶端，但客戶端返回資料很少。客戶端和伺服器在建立通訊之前必須經歷多個階段。

客戶端連線後，就與伺服器使用設定(例如螢幕解析度)、支援功能與許可證資訊達成一致。然後，它們就RDP安全型別達成一致，並從兩種支援模式中進行選擇：一是標準模式，基於RC4;二是增強模式，其中RDP依賴於其他協議，例如TLS或CredSSP。

最後，客戶端與伺服器必須就所需的通道數量達成一致。所謂通道即單獨的資料流，每個資料流都有自己的ID，從而構成遠端桌面協議。這些通道可以重定向對檔案系統的訪問，或啟用客戶端與伺服器之間的剪貼簿共享。

2019年，研究人員發現了RDP中的一個關鍵漏洞，稱為“BlueKeep”，利用該漏洞(CVE-2019-0708)可遠端執行隨機程式碼，無需使用者執行任何操作，同時無需有效憑證。這些事實結合起來可能會導致蠕蟲——可以在易受攻擊的系統間自我傳播的惡意軟體。幾年前出現的Wanncry惡意軟體中曾發現過了類似事情。BlueKeep的顯著特點是它可以連線到較老的Windows系統。這迫使微軟採取奇怪的步驟為其不再支援的系統版本製作新補丁。

2019年8月，研究人員公佈DejaBlue——它不是一個漏洞，而是一系列漏洞，類似於BlueKeep，允許攻擊者在沒有任何形式的身份驗證情況下劫持易受攻擊的系統。與BlueKeep不同的是，DejaBlue的漏洞位於較新版本的Windows中。有時候，攻擊者無需濫用漏洞，只要簡單地利用配置錯誤就能進行攻擊。RDP安全中一些常見的風險包括：弱使用者登入憑據;未對RDP登入伺服器的行為進行記錄或監控，這些系統允許攻擊者隨意嘗試蠻力或密碼噴灑攻擊;未經任何網路過濾公開暴露的系統。

經常利用RDP實施攻擊的組織包括：APT41、FIN6、FIN7等組織使用RDP進行橫向移動;FLIPSIDE等組織使用RDP來竊取資訊，例如，Ngrok 就是一個合法的反向代理，可以通過對RDP中的流量隧道化來滲漏受害者資料;WannaCry惡意軟體可以在現有的遠端桌面會話中執行惡意軟體，這種對會話的“竊取”行為通常稱為“RDP劫持”。

雖然存在諸多安全風險，但RDP仍然可以為我們提供很多價值。想要保護遠端桌面伺服器，需要考慮許多關鍵因素。

首先，補丁管理是基礎，確保系統始終保持最新狀態，尤其是對於關鍵的遠端訪問服務而言，其重要性不言而喻。其次，大多數情況下，組織無需向全世界公開RDP，組織可以使用防火牆、IP限制、通過虛擬專用網限制訪問或使用即時訪問，後者大大降低了風險，並且可以確保組織在需要時隨時訪問該服務。再次，確保不要為啟用RDP的帳戶使用易於猜測的密碼。如果不需要，不要允許遠端訪問所有系統使用者。

此外，實現某種形式的自動帳戶鎖定非常有意義，可以防止攻擊者通過暴力破解來猜測密碼。組織可能還需要啟用網路級別身份驗證或NLA——這是一種緩解措施，可防止對RDP隧道的意外訪問。

無論組織的RDP設定多麼安全，總會有攻擊者抓到機會的時候。這時，組織需要依靠日誌記錄和監控來分析正在發生的事情。

RDP取證工件的重要來源包括： quser、qwinsta和qprocess提供有關RDP使用者、會話和程式的資訊;Microsoft-Windows-Terminal-Services-RemoteConnectionManager和Windows-TerminalServices-LocalSessionManager通知客戶端網路連線以及RDP會話的起止; 最後，Microsoft-Windows-Security-Auditing包括認證嘗試成功或失敗的事件。

儘管RDP確實存在諸多風險，而且攻擊者對遠端訪問工具的興趣也日趨高漲，但這並不意味著組織不能以安全和可控的方式部署它們。如果組織充分考慮上述預防措施，並設定了足夠的日誌記錄和監控策略，應該會收到不錯的效果。

原文來自： https://www.linuxprobe.com/rdp-security-threats.html