教你如何防範遠端桌面協議(RDP)的安全威脅

大雄45發表於2021-12-18
協議
導讀 由於RDP是一種非常流行的協議,攻擊者一旦獲取訪問許可權,就會使用其轉移到其他系統,所以,RDP也成功吸引了攻擊者的目光。

遠端桌面協議(Remote Desktop Protocol,簡稱RDP)是用於遠端控制系統較流行的通訊協議之一,適用於當前大多數Windows作業系統,通過提供圖形使用者介面,允許使用者遠端訪問伺服器或其他計算機。Microsoft甚至將其定位為管理執行Windows系統Azure虛擬機器的預設方法。

由於RDP是一種非常流行的協議,攻擊者一旦獲取訪問許可權,就會使用其轉移到其他系統,所以,RDP也成功吸引了攻擊者的目光。因為他們意識到,相較於利用沒有必勝把握的漏洞,使用RDP這種遠端訪問工具明顯更加高效——只需獲得正確的憑據即可訪問企業網路。

根據最近的X-Force報告,竊取訪問這些系統的憑據是暗網上利潤最可觀的生意之一,不過,這些直接暴露的伺服器並不是攻擊者使用(或者說濫用)RDP的唯一系統,他們的目標之一是融入常規流量。
教你如何防範遠端桌面協議(RDP)的安全威脅教你如何防範遠端桌面協議(RDP)的安全威脅

RDP如何執行?

在深入探討RDP威脅和防禦之前,最好先了解一下它是如何執行的。RDP是一個雙向通訊協議。它可以將伺服器的螢幕輸出傳輸到客戶端;將鍵盤和滑鼠的輸入內容從客戶端傳輸到伺服器;這個過程是非對稱的,因為大多數資料都是從伺服器到客戶端,但客戶端返回資料很少。客戶端和伺服器在建立通訊之前必須經歷多個階段。

客戶端連線後,就與伺服器使用設定(例如螢幕解析度)、支援功能與許可證資訊達成一致。然後,它們就RDP安全型別達成一致,並從兩種支援模式中進行選擇:一是標準模式,基於RC4;二是增強模式,其中RDP依賴於其他協議,例如TLS或CredSSP。

最後,客戶端與伺服器必須就所需的通道數量達成一致。所謂通道即單獨的資料流,每個資料流都有自己的ID,從而構成遠端桌面協議。這些通道可以重定向對檔案系統的訪問,或啟用客戶端與伺服器之間的剪貼簿共享。

RDP相關漏洞及APT組織
BlueKeep

2019年,研究人員發現了RDP中的一個關鍵漏洞,稱為“BlueKeep”,利用該漏洞(CVE-2019-0708)可遠端執行隨機程式碼,無需使用者執行任何操作,同時無需有效憑證。這些事實結合起來可能會導致蠕蟲——可以在易受攻擊的系統間自我傳播的惡意軟體。幾年前出現的Wanncry惡意軟體中曾發現過了類似事情。BlueKeep的顯著特點是它可以連線到較老的Windows系統。這迫使微軟採取奇怪的步驟為其不再支援的系統版本製作新補丁。

DejaBlue

2019年8月,研究人員公佈DejaBlue——它不是一個漏洞,而是一系列漏洞,類似於BlueKeep,允許攻擊者在沒有任何形式的身份驗證情況下劫持易受攻擊的系統。與BlueKeep不同的是,DejaBlue的漏洞位於較新版本的Windows中。有時候,攻擊者無需濫用漏洞,只要簡單地利用配置錯誤就能進行攻擊。RDP安全中一些常見的風險包括:弱使用者登入憑據;未對RDP登入伺服器的行為進行記錄或監控,這些系統允許攻擊者隨意嘗試蠻力或密碼噴灑攻擊;未經任何網路過濾公開暴露的系統。

經常利用RDP實施攻擊的組織包括:APT41、FIN6、FIN7等組織使用RDP進行橫向移動;FLIPSIDE等組織使用RDP來竊取資訊,例如,Ngrok 就是一個合法的反向代理,可以通過對RDP中的流量隧道化來滲漏受害者資料;WannaCry惡意軟體可以在現有的遠端桌面會話中執行惡意軟體,這種對會話的“竊取”行為通常稱為“RDP劫持”。

防範建議

雖然存在諸多安全風險,但RDP仍然可以為我們提供很多價值。想要保護遠端桌面伺服器,需要考慮許多關鍵因素。

首先,補丁管理是基礎,確保系統始終保持最新狀態,尤其是對於關鍵的遠端訪問服務而言,其重要性不言而喻。其次,大多數情況下,組織無需向全世界公開RDP,組織可以使用防火牆、IP限制、通過虛擬專用網限制訪問或使用即時訪問,後者大大降低了風險,並且可以確保組織在需要時隨時訪問該服務。再次,確保不要為啟用RDP的帳戶使用易於猜測的密碼。如果不需要,不要允許遠端訪問所有系統使用者。

此外,實現某種形式的自動帳戶鎖定非常有意義,可以防止攻擊者通過暴力破解來猜測密碼。組織可能還需要啟用網路級別身份驗證或NLA——這是一種緩解措施,可防止對RDP隧道的意外訪問。

監控和取證工件

無論組織的RDP設定多麼安全,總會有攻擊者抓到機會的時候。這時,組織需要依靠日誌記錄和監控來分析正在發生的事情。

RDP取證工件的重要來源包括: quser、qwinsta和qprocess提供有關RDP使用者、會話和程式的資訊;Microsoft-Windows-Terminal-Services-RemoteConnectionManager和Windows-TerminalServices-LocalSessionManager通知客戶端網路連線以及RDP會話的起止; 最後,Microsoft-Windows-Security-Auditing包括認證嘗試成功或失敗的事件。

儘管RDP確實存在諸多風險,而且攻擊者對遠端訪問工具的興趣也日趨高漲,但這並不意味著組織不能以安全和可控的方式部署它們。如果組織充分考慮上述預防措施,並設定了足夠的日誌記錄和監控策略,應該會收到不錯的效果。

原文來自: https://www.linuxprobe.com/rdp-security-threats.html

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2848350/,如需轉載,請註明出處,否則將追究法律責任。

相關文章