通过注册表启用 RDP
编辑通过注册表启用 RDP
编辑识别启用远程桌面协议 (RDP) 访问的注册表写入修改。这可能表明攻击者在进行横向移动准备。
规则类型: eql
规则索引:
- logs-endpoint.events.registry-*
- winlogbeat-*
- logs-windows.sysmon_operational-*
- endgame-*
- logs-m365_defender.event-*
- logs-sentinel_one_cloud_funnel.*
严重程度: 中等
风险评分: 47
运行频率: 5 分钟
搜索索引起始时间: now-9m (日期数学格式,另请参阅 附加回溯时间
)
每次执行的最大警报数: 100
参考: 无
标签:
- 域:端点
- 操作系统:Windows
- 用例:威胁检测
- 战术:横向移动
- 战术:防御规避
- 资源:调查指南
- 数据源:Elastic Endgame
- 数据源:Elastic Defend
- 数据源:Sysmon
- 数据源:Microsoft Defender for Endpoint
- 数据源:SentinelOne
版本: 312
规则作者:
- Elastic
规则许可: Elastic License v2
调查指南
编辑分类和分析
调查通过注册表启用 RDP
Microsoft 远程桌面协议 (RDP) 是一种专有的 Microsoft 协议,允许远程连接到其他计算机,通常通过 TCP 端口 3389。
攻击者可以使用 RDP 以交互方式执行操作。勒索软件运营商经常使用 RDP 来访问受害者的服务器,通常使用特权帐户。
此规则检测对 fDenyTSConnections 注册表项的修改,将其值设为 0
,这表示已启用远程桌面连接。攻击者可以滥用远程注册表、使用 psexec 等来启用 RDP 并进行横向移动。
可能的调查步骤
- 确定执行操作的用户帐户,以及该帐户是否应该执行此类操作。
- 联系用户以确认他们是否了解此操作。
- 调查未知进程的进程执行链(父进程树)。检查它们的可执行文件是否普遍存在、是否位于预期位置以及是否使用有效的数字签名进行签名。
- 调查过去 48 小时内与用户/主机相关的其他警报。
- 检查在此主机上启用 RDP 是否合理,考虑到它在环境中的角色。
- 检查主机是否直接暴露于互联网。
- 检查特权帐户是否在修改后不久访问了该主机。
- 查看此警报发生前后短时间内传入的 RDP 连接尝试的网络事件。
误报分析
- 此机制可以合法使用。检查用户是否应该执行此类活动、他们是否了解该活动、是否应该打开 RDP 以及该操作是否会使环境面临不必要的风险。
响应和补救
- 根据分类的结果启动事件响应流程。
- 如果需要 RDP,请务必使用防火墙规则保护它
- 将 RDP 流量列入特定受信任主机的白名单。
- 尽可能将 RDP 登录限制为授权的非管理员帐户。
- 隔离相关主机以防止进一步的攻击后行为。
- 审查分配给相关用户的权限,以确保遵循最小权限原则。
- 确定攻击者滥用的初始向量,并采取措施防止通过同一向量进行再次感染。
- 使用事件响应数据,更新日志记录和审计策略,以提高平均检测时间 (MTTD) 和平均响应时间 (MTTR)。
规则查询
编辑registry where host.os.type == "windows" and event.type == "change" and registry.path : ( "HKLM\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections", "\\REGISTRY\\MACHINE\\SYSTEM\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections", "MACHINE\\*ControlSet*\\Control\\Terminal Server\\fDenyTSConnections" ) and registry.data.strings : ("0", "0x00000000") and not process.executable : ("?:\\Windows\\System32\\SystemPropertiesRemote.exe", "?:\\Windows\\System32\\SystemPropertiesComputerName.exe", "?:\\Windows\\System32\\SystemPropertiesAdvanced.exe", "?:\\Windows\\System32\\SystemSettingsAdminFlows.exe", "?:\\Windows\\WinSxS\\*\\TiWorker.exe", "?:\\Windows\\system32\\svchost.exe")
框架: MITRE ATT&CKTM
-
战术
- 名称:横向移动
- ID: TA0008
- 参考 URL: https://attack.mitre.org/tactics/TA0008/
-
技术
- 名称:远程服务
- ID: T1021
- 参考 URL: https://attack.mitre.org/techniques/T1021/
-
子技术
- 名称:远程桌面协议
- ID: T1021.001
- 参考 URL: https://attack.mitre.org/techniques/T1021/001/
-
战术
- 名称:防御规避
- ID: TA0005
- 参考 URL: https://attack.mitre.org/tactics/TA0005/
-
技术
- 名称:修改注册表
- ID: T1112
- 参考 URL: https://attack.mitre.org/techniques/T1112/