对于IT人员和Windows用户,Windows远程桌面协议(RDP)是常用的便利工具,可以交互式使用或管理远程Windows的服务器。然而这也是一扇被有心人惦记着的大门,如果管理不当,你的系统轻则被攻陷丢失信息,文件勒索,甚者被当做肉鸡去Ddos攻击别人,当做跳板去干别的坏事。典型的APT过程下面显示下利用RDP的途径进行一个APT(AdvancedPersistentThreat,阶持续性渗透攻击)的过程:1、一名HR通过与钓鱼邮件进行交互,无意中点击下载安装了邮件中钓鱼URL链接的木马程序。2、木马利用Mimikatz等工具窃取了获取存储在内存中用于访问系统的用户帐户和密码。3、木马创建一个网络隧道,接收攻击者的命令和控制指令。4、攻击者通过网络隧道使用泄露的账号和密码通过RDP登录到HR的电脑。5、攻击者使用ActiveDirectory枚举命令来探测公司域的相关信息和系统。6、攻击者使用RDP和HR员工的域帐户连接到财务部门的系统。7、攻击者使用Mimikatz在财务系统上窃取账号信息,获取了最近登陆该系统的财务员工的账号和最近登录系统进行故障排除的IT管理员的账号。8.使用RDP,攻击者利用HR帐户,财务的帐户和IT管理员的帐户登录环境中的其他系统。9、攻击者将数据下载到HR员工的系统上。10、攻击者通过内置的RDP复制和粘贴功能下载这些功能。整个过程图示如下:通过这个例子,我们应该意识到我们的有多脆弱,黑客得多可怕。那么如何防止这种攻击呢?这就是本文虫虫要给大家说的主题。要防止和识别这类攻击最基本的做法是网络安全基线。为此,企业通过了解网络环境下的正常操作,什么是异常活动,基于这些建立基线,通过基线检测就可以识别非法的攻击活动。企业日常IT操作调查同样的环境,我们需要做以下调查:1、HR或财务人员需要使用RDP工作么?2、HR的RDP需要访问财务系统的么?3、HR或财务员工RDP是否必须访问这些系统?4、HR或财务部门的系统是否被用作RDP的源系统?5、IT管理员是否从不属于IT网络部分IP来源访问RDP?6、关键服务器是否都有来自不属于IT网络部分的源系统的登录?7、关键服务器是否给予HR或财务人员RDP登录的权限?8、是否要允许用户帐户不同IP来源发起RDP连接?尽管开发一个定制流程来确定用户帐户范围、IP来源的系统以及在企业中利用RDP的安全审计系统可能不是马上就能做到。但对这些数据进行规范化和审核将使企业员工更深入地了解用户帐户行为,以及检测意外活动、以便于快速排查这类事件。通过事件日志跟踪RDP活动如何识别网络典型行为?首要任务和最重要的方法是启用其事件日志。RDP登录可以在通过相关来源系统和目标系统上生成日志文件,事件日志和注册表组件。JPCERT的有一个42页的参考文献《通过跟踪事件日志检测非法活动》详细介绍了调查人员在源系统和目标系统上可能找到的许多组件。为了可扩展性,在此提出的基线方法将重点
转载请注明:http://www.aierlanlan.com/grrz/8969.html
