通过注册表启用 RDP

编辑

识别启用远程桌面协议 (RDP) 访问的注册表写入修改。这可能表明攻击者在进行横向移动准备。

规则类型: eql

规则索引:

  • logs-endpoint.events.registry-*
  • winlogbeat-*
  • logs-windows.sysmon_operational-*
  • endgame-*
  • logs-m365_defender.event-*
  • logs-sentinel_one_cloud_funnel.*

严重程度: 中等

风险评分: 47

运行频率: 5 分钟

搜索索引起始时间: now-9m (日期数学格式,另请参阅 附加回溯时间)

每次执行的最大警报数: 100

参考: 无

标签:

  • 域:端点
  • 操作系统:Windows
  • 用例:威胁检测
  • 战术:横向移动
  • 战术:防御规避
  • 资源:调查指南
  • 数据源:Elastic Endgame
  • 数据源:Elastic Defend
  • 数据源:Sysmon
  • 数据源:Microsoft Defender for Endpoint
  • 数据源:SentinelOne

版本: 312

规则作者:

  • Elastic

规则许可: Elastic License v2

调查指南

编辑

分类和分析

调查通过注册表启用 RDP

Microsoft 远程桌面协议 (RDP) 是一种专有的 Microsoft 协议,允许远程连接到其他计算机,通常通过 TCP 端口 3389。

攻击者可以使用 RDP 以交互方式执行操作。勒索软件运营商经常使用 RDP 来访问受害者的服务器,通常使用特权帐户。

此规则检测对 fDenyTSConnections 注册表项的修改,将其值设为 0,这表示已启用远程桌面连接。攻击者可以滥用远程注册表、使用 psexec 等来启用 RDP 并进行横向移动。

可能的调查步骤

  • 确定执行操作的用户帐户,以及该帐户是否应该执行此类操作。
  • 联系用户以确认他们是否了解此操作。
  • 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
  • 调查过去 48 小时内与用户/主机相关的其他警报。
  • 检查在此主机上启用 RDP 是否合理,考虑到它在环境中的角色。
  • 检查主机是否直接暴露于互联网。
  • 检查特权帐户是否在修改后不久访问了该主机。
  • 查看此警报发生前后短时间内传入的 RDP 连接尝试的网络事件。

误报分析

  • 此机制可以合法使用。检查用户是否应该执行此类活动、他们是否了解该活动、是否应该打开 RDP 以及该操作是否会使环境面临不必要的风险。

响应和补救

  • 根据分类的结果启动事件响应流程。
  • 如果需要 RDP,请务必使用防火墙规则保护它
  • 将 RDP 流量列入特定受信任主机的白名单。
  • 尽可能将 RDP 登录限制为授权的非管理员帐户。
  • 隔离相关主机以防止进一步的攻击后行为。
  • 审查分配给相关用户的权限,以确保遵循最小权限原则。
  • 确定攻击者滥用的初始向量,并采取措施防止通过同一向量进行再次感染。
  • 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

规则查询

编辑
registry where host.os.type == "windows" and event.type == "change" and
  registry.path : (
    "HKLM\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections",
    "\\REGISTRY\\MACHINE\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections",
    "MACHINE\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections"
  ) and
  registry.data.strings : ("0", "0x00000000") and
  not process.executable : ("?:\\Windows\\System32\\SystemPropertiesRemote.exe",
                            "?:\\Windows\\System32\\SystemPropertiesComputerName.exe",
                            "?:\\Windows\\System32\\SystemPropertiesAdvanced.exe",
                            "?:\\Windows\\System32\\SystemSettingsAdminFlows.exe",
                            "?:\\Windows\\WinSxS\\*\\TiWorker.exe",
                            "?:\\Windows\\system32\\svchost.exe")

框架: MITRE ATT&CKTM