通过注册表启用 RDP

编辑

通过注册表启用 RDP

编辑

识别启用远程桌面协议 (RDP) 访问的注册表写入修改。这可能表明对手正在准备横向移动。

规则类型: eql

规则索引:

logs-endpoint.events.registry-*
winlogbeat-*
logs-windows.sysmon_operational-*
endgame-*
logs-m365_defender.event-*
logs-sentinel_one_cloud_funnel.*

严重性: 中等

风险评分: 47

每隔: 5 分钟

搜索索引自: now-9m (日期数学格式，另见 额外回溯时间)

每次执行的最大告警数: 100

参考文献: 无

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：横向移动
策略：防御规避
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：Sysmon
数据源：Microsoft Defender for Endpoint
数据源：SentinelOne

版本: 312

规则作者:

Elastic

规则许可证: Elastic License v2

调查指南

编辑

分类和分析

调查通过注册表启用 RDP

Microsoft 远程桌面协议 (RDP) 是 Microsoft 的专有协议，允许远程连接到其他计算机，通常通过 TCP 端口 3389。

攻击者可以使用 RDP 以交互方式执行其操作。勒索软件运营者经常使用 RDP 访问受害者服务器，通常使用特权帐户。

此规则检测对 fDenyTSConnections 注册表项的修改，其值为 0，这表示启用了远程桌面连接。攻击者可以滥用远程注册表、使用 psexec 等来启用 RDP 并进行横向移动。

可能的调查步骤

识别执行该操作的用户帐户以及该帐户是否应该执行此类操作。
联系用户以检查他们是否知道此操作。
调查未知进程的进程执行链（父进程树）。检查其可执行文件的流行程度、它们是否位于预期位置以及它们是否使用有效的数字签名进行签名。
调查过去 48 小时内与用户/主机相关的其他警报。
检查鉴于其在环境中的角色，是否需要为此主机启用 RDP。
检查主机是否直接暴露于互联网。
检查修改后不久特权帐户是否访问了主机。
查看此警报短时间范围内的网络事件，查找传入的 RDP 连接尝试。

误报分析

此机制可以合法使用。检查用户是否应该执行此类活动，他们是否知道此活动，RDP 是否应该打开，以及该操作是否将环境暴露于不必要的风险中。

响应和补救

根据分类的结果启动事件响应流程。
如果需要 RDP，请确保使用防火墙规则对其进行保护
将 RDP 通信允许列入到特定受信任的主机。
尽可能将 RDP 登录限制为授权的非管理员帐户。
隔离相关主机以防止进一步的入侵后行为。
检查分配给相关用户的权限，以确保遵循最小权限原则。
确定攻击者滥用的初始载体，并采取措施防止通过相同载体再次感染。
使用事件响应数据，更新日志记录和审计策略以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑

registry where host.os.type == "windows" and event.type == "change" and
  registry.path : (
    "HKLM\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections",
    "\\REGISTRY\\MACHINE\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections",
    "MACHINE\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections"
  ) and
  registry.data.strings : ("0", "0x00000000") and
  not process.executable : ("?:\\Windows\\System32\\SystemPropertiesRemote.exe",
                            "?:\\Windows\\System32\\SystemPropertiesComputerName.exe",
                            "?:\\Windows\\System32\\SystemPropertiesAdvanced.exe",
                            "?:\\Windows\\System32\\SystemSettingsAdminFlows.exe",
                            "?:\\Windows\\WinSxS\\*\\TiWorker.exe",
                            "?:\\Windows\\system32\\svchost.exe")

框架: MITRE ATT&CK^TM

策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：远程服务
- ID：T1021
- 参考网址：https://attack.mitre.org/techniques/T1021/
子技术
- 名称：远程桌面协议
- ID：T1021.001
- 参考网址：https://attack.mitre.org/techniques/T1021/001/
策略
- 名称：防御规避
- ID：TA0005
- 参考网址：https://attack.mitre.org/tactics/TA0005/
技术
- 名称：修改注册表
- ID：T1112
- 参考网址：https://attack.mitre.org/techniques/T1112/

« 来自互联网的 RDP（远程桌面协议） ROT 编码的 Python 脚本执行 »