› › ›

检测到潜在远程桌面隧道

编辑

检测到潜在远程桌面隧道编辑

识别潜在使用 SSH 实用程序通过反向 SSH 隧道建立 RDP 的情况。攻击者可以使用此方法启用网络数据包的路由，而这些数据包原本无法到达其预期目的地。

规则类型: eql

规则索引:

logs-endpoint.events.process-*
winlogbeat-*
logs-windows.*
endgame-*
logs-system.security*
logs-sentinel_one_cloud_funnel.*
logs-m365_defender.event-*

严重性: 高

风险评分: 73

每隔运行: 5 分钟

从以下时间开始搜索索引: now-9m（日期数学格式，另请参见 附加回溯时间）

每次执行的最大警报数: 100

参考:

https://blog.netspi.com/how-to-access-rdp-over-a-reverse-ssh-tunnel/

标签:

域：端点
操作系统：Windows
用例：威胁检测
策略：命令和控制
策略：横向移动
资源：调查指南
数据源：Elastic Endgame
数据源：Elastic Defend
数据源：SentinelOne
数据源：Microsoft Defender for Endpoint

版本: 313

规则作者:

Elastic

规则许可: Elastic License v2

调查指南编辑

分类和分析

调查检测到的潜在远程桌面隧道

协议隧道是一种机制，它涉及将一个协议明确封装在另一个协议中，用于各种用例，从提供外层加密（类似于 VPN）到使网络设备过滤的流量能够到达其目的地。

攻击者可能会通过其他协议（如安全外壳 (SSH)）对远程桌面协议 (RDP) 流量进行隧道传输，以绕过阻止传入 RDP 连接但可能对其他协议更宽容的网络限制。

此规则查找涉及 3389 端口的命令行，RDP 默认使用此端口，以及通常与执行隧道传输的工具关联的选项。

可能的调查步骤

调查未知进程的进程执行链（父进程树）。检查其可执行文件以了解其普遍性，它们是否位于预期位置，以及是否使用有效的数字签名进行签名。
识别执行该操作的用户帐户，以及它是否应该执行此类操作。
联系帐户和系统所有者，并确认他们是否知道此活动。
调查过去 48 小时内与该用户/主机关联的其他警报。
通过查找主机之间的类似事件来评估此行为在环境中是否普遍存在。
检查网络数据以确定主机是否使用隧道与外部服务器通信。

误报分析

此活动不太可能合法发生。如有必要，可以将良性真阳性 (B-TP) 添加为例外。
调查与隧道传输无关的程序（如远程桌面客户端）的执行命令行。

响应和补救

根据分类结果启动事件响应流程。
隔离涉及的主机以防止进一步的妥协后行为。
采取必要的措施来禁用隧道传输，这可以是终止进程、删除服务、修改注册表项等。检查主机以了解使用了哪种方法，并确定针对此案例的响应。
调查攻击者妥协或使用的系统上的凭据泄露情况，以确保识别出所有受损帐户。重置这些帐户和其他可能受损凭据（例如电子邮件、业务系统和 Web 服务）的密码。
运行完整的反恶意软件扫描。这可能会揭示系统中留下的其他工件、持久性机制和恶意软件组件。
确定攻击者滥用的初始媒介，并采取措施防止通过同一媒介重新感染。
使用事件响应数据，更新日志记录和审计策略，以改善平均检测时间 (MTTD) 和平均响应时间 (MTTR)。

设置编辑

设置

如果在非 elastic-agent 索引（例如 beats）上启用 EQL 规则（对于版本 <8.2），事件将不会定义 event.ingested，并且直到 8.2 版本才添加 EQL 规则的默认后备。因此，为了使此规则有效工作，用户需要添加一个自定义摄取管道以将 event.ingested 填充到 @timestamp。有关添加自定义摄取管道的更多详细信息，请参阅 - https://elastic.ac.cn/guide/en/fleet/current/data-streams-pipeline-tutorial.html

规则查询编辑

process where host.os.type == "windows" and event.type == "start" and
  /* RDP port and usual SSH tunneling related switches in command line */
  process.args : "*:3389" and
  process.args : ("-L", "-P", "-R", "-pw", "-ssh")

框架：MITRE ATT&CK^TM

策略
- 名称：命令与控制
- ID：TA0011
- 参考网址：https://attack.mitre.org/tactics/TA0011/
技术
- 名称：协议隧道
- ID：T1572
- 参考网址：https://attack.mitre.org/techniques/T1572/
策略
- 名称：横向移动
- ID：TA0008
- 参考网址：https://attack.mitre.org/tactics/TA0008/
技术
- 名称：远程服务
- ID：T1021
- 参考网址：https://attack.mitre.org/techniques/T1021/
子技术
- 名称：SSH
- ID：T1021.004
- 参考网址：https://attack.mitre.org/techniques/T1021/004/

« 潜在远程桌面影子活动通过 MSIEXEC 进行潜在远程文件执行 »