Протокол удаленного рабочего стола (RDP) - это собственный протокол, разработанный компанией Microsoft, который позволяет пользователям удаленно получать доступ к системе и управлять ею через сетевое соединение. RDP обычно используется в корпоративных средах для предоставления сотрудникам возможности удаленного доступа и работы на своих рабочих станциях из любого места. Однако если протокол RDP не защищен должным образом, он может быть использован киберзлоумышленниками для получения несанкционированного доступа к системе жертвы.
Использование протокола удаленного рабочего стола злоумышленниками
Несмотря на то что RDP является полезным инструментом для легального удаленного доступа, киберзлоумышленники также могут злоупотреблять им в своих атакующих кампаниях. Злоумышленники могут использовать действительные учетные записи для входа в компьютер через RDP и выполнения действий в качестве аутентифицированного пользователя. Существует несколько способов, с помощью которых атакующие могут использовать действительные учетные записи и RDP в своих интересах:
- Техники доступа к учетным данным (например, техника OS Credential Dumping [T1003])
- Атаки грубой силы [T1110] (например, атаки по словарю)
- Фишинговые атаки [T1566]
Получив доступ к системе жертвы через RDP, атакующие могут выполнять команды и манипулировать системой, как если бы они физически находились за клавиатурой. Вот некоторые способы злоумышленников использовать RDP:
- Первоначальный доступ: Злоумышленники могут использовать RDP для получения первоначального доступа к целевой системе или сети, если служба позволяет получить доступ к учетным записям с известными учетными данными. Они могут использовать технику Credential Access для получения этих учетных данных путем перебора или кражи их из других источников.
- Латеральное перемещение: После того как злоумышленник получил первоначальный доступ к системе, он может использовать RDP для перемещения в пространстве и получения доступа к другим системам. Это можно сделать, подключившись к другим системам и используя сеанс RDP для просмотра и копирования файлов или используя RDP для выполнения кода на удаленной системе.
- Постоянство: Злоумышленники могут использовать RDP для поддержания постоянного присутствия в системе, настраивая систему на прием RDP-соединений или оставляя RDP-сессию открытой и активной.
- Исполнение: Злоумышленники могут использовать RDP для удаленного выполнения кода или команд в системе, взаимодействуя с системой напрямую через сеанс RDP или используя RDP для удаленного запуска командной строки или другой программы.
- Повышение привилегий: Злоумышленники могут использовать RDP для получения более высокого уровня доступа или привилегий в системе путем аутентификации на сервере RDP с помощью привилегированной учетной записи или использования уязвимостей в RDP для получения доступа к более высоким привилегиям.
- Уклонение от защиты: Злоумышленники могут использовать RDP для обхода средств контроля безопасности и избежания обнаружения путем обмена данными через зашифрованное соединение RDP или использования RDP для запуска программ или выполнения команд в обход средств контроля безопасности.
- Эксфильтрация: Злоумышленники могут использовать RDP для утечки данных из целевой системы или сети. Для этого они могут подключаться к системе и передавать файлы через RDP-соединение или использовать RDP для удаленного доступа к другим системам, содержащим данные, которые они хотят украсть.
- Командование и управление: Злоумышленники могут использовать RDP для создания командно-контрольного канала (C2) с помощью своего вредоносного ПО или других инструментов. Это можно сделать, используя RDP для удаленного выполнения кода или туннелирования других протоколов, таких как HTTP или HTTPS, через RDP-соединение.
- Распространение вредоносного ПО: Злоумышленники могут использовать RDP для распространения вредоносного ПО в целевой среде. Для этого они могут подключаться к системам и устанавливать вредоносное ПО напрямую или использовать RDP для выполнения кода, который загружает и устанавливает вредоносное ПО из удаленного места.