通过注册表启用 RDP

编辑

通过注册表启用 RDP编辑

识别注册表写入修改以启用远程桌面协议 (RDP) 访问。这可能表明攻击者横向移动准备。

规则类型: eql

规则索引:

logs-endpoint.events.registry-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*

严重性: 中等

风险评分: 47

每隔: 5 分钟运行一次

从以下位置搜索索引: now-9m (日期数学格式，另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：横向移动
策略：防御规避
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon

版本: 111

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南编辑

分诊和分析

调查通过注册表启用的 RDP

Microsoft 远程桌面协议 (RDP) 是一种专有的 Microsoft 协议，可通过 TCP 端口 3389 远程连接到其他计算机。

攻击者可以使用 RDP 交互地执行其操作。勒索软件运营商经常使用 RDP 访问受害者服务器，通常使用特权帐户。

此规则检测 fDenyTSConnections 注册表项修改为值 0，该值指定已启用远程桌面连接。攻击者可以滥用远程注册表、使用 psexec 等来启用 RDP 并横向移动。

可能的调查步骤

识别执行操作的用户帐户，以及它是否应该执行此类操作。
联系用户，检查他们是否知道此操作。
调查未知进程的进程执行链（父进程树）。检查其可执行文件是否普遍存在，它们是否位于预期位置，以及它们是否使用有效的数字签名进行签名。
调查过去 48 小时内与用户/主机关联的其他警报。
检查启用 RDP 访问此主机是否合理，因为这取决于它在环境中的角色。
检查主机是否直接暴露在互联网上。
检查在修改后不久是否有特权帐户访问主机。
检查此警报发生前后的短时间内的网络事件，以了解传入的 RDP 连接尝试。

误报分析

此机制可以合法使用。检查用户是否应该执行此类活动，他们是否知道此活动，是否应该开放 RDP，以及此操作是否会使环境面临不必要的风险。

响应和补救

根据分类结果启动事件响应流程。
如果需要 RDP，请务必使用防火墙规则对其进行保护
将 RDP 流量允许列入特定受信任的主机。
尽可能将 RDP 登录限制为经过授权的非管理员帐户。
隔离涉及的主机，以防止进一步的入侵后行为。
查看分配给相关用户的权限，以确保遵循最小权限原则。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
使用事件响应数据，更新日志记录和审计策略，以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在版本 <8.2 的非弹性代理索引（例如 beats）上启用 EQL 规则，则事件将不会定义 event.ingested，并且在版本 8.2 之前未添加 EQL 规则的默认后备。因此，为了使此规则有效工作，用户需要添加一个自定义摄取管道以填充 event.ingested 至 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

registry where host.os.type == "windows" and
 event.type in ("creation", "change") and
  registry.path : "HKLM\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections" and
  registry.data.strings : ("0", "0x00000000") and
  not process.executable : ("?:\\Windows\\System32\\SystemPropertiesRemote.exe",
                            "?:\\Windows\\System32\\SystemPropertiesComputerName.exe",
                            "?:\\Windows\\System32\\SystemPropertiesAdvanced.exe",
                            "?:\\Windows\\System32\\SystemSettingsAdminFlows.exe",
                            "?:\\Windows\\WinSxS\\*\\TiWorker.exe",
                            "?:\\Windows\\system32\\svchost.exe")

框架：MITRE ATT&CK^TM

策略
- 名称：横向移动
- ID：TA0008
- 参考 URL：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：远程服务
- ID：T1021
- 参考网址：https://attack.mitre.org/techniques/T1021/
子技术
- 名称：远程桌面协议
- ID：T1021.001
- 参考网址：https://attack.mitre.org/techniques/T1021/001/
策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考网址：https://attack.mitre.org/techniques/T1112/

« 从互联网访问 RDP（远程桌面协议）从互联网访问 RPC（远程过程调用） »