Hackers estão conduzindo ataques RDP usando uma nova técnica para ignorar proteções

Um componente do Microsoft Windows, RDP foi projetado para fornecer aos administradores, engenheiros e usuários acesso remoto aos sistemas. No entanto, os hackers (blackhat) têm usado a tecnologia para fins nefastos, e a tendência continua, especialmente porque um ataque RDP é geralmente mais difícil de detectar do que um backdoor.

“Os hackers continuam a preferir o RDP para as vantagens de estabilidade e funcionalidade sobre backdoors não-gráficos, que podem deixar artefatos indesejados em um sistema.”

Estes permitem que os atacantes estabeleçam uma conexão com um servidor remoto bloqueado por um firewall e abusem dessa conexão como um mecanismo de transporte para “ encapsular ” serviços de escuta locais através do firewall, tornando-os acessíveis ao servidor remoto. 

O tunelamento de rede e o encaminhamento de porta aproveitam os “ furos ” de firewall (portas não protegidas pelo firewall que permitem o acesso de aplicativos a um serviço em um host na rede protegida pelo firewall) para estabelecer uma conexão com um servidor remoto bloqueado por um firewall.

Uma vez estabelecida uma conexão ao servidor remoto através do firewall, a conexão pode ser usada como um mecanismo de transporte para enviar ou “encapsular” serviços de escuta locais (localizados dentro do firewall) através do firewall, tornando-os acessíveis ao servidor remoto ( localizado fora do firewall).

Um utilitário usado para encapsular sessões RDP é PuTTY Link , ou Plink , que permite que atacantes estabeleçamseguroconexões de rede shell ( SSH ) para outros sistemas. Com muitos ambientes de TI que não inspecionam protocolos ou não bloqueiam as comunicações SSH de sua rede, os invasores podem usar a ferramenta para criar túneis criptografados e estabelecer conexões RDP com o servidor de comando e controle (C & C). 

Como funciona?

Túnel RDP de entrada, um utilitário comum usado para encapsular sessões RDP é o PuTTY Link, comumente conhecido como Plink . 
Ataque RDP

FIG: Desvio do firewall corporativo usando RDP e tunelamento de rede com SSH como exemplo
Ataque RDP

FIG: Exemplo de um túnel RDP bem sucedido criado usando o Plink
Ataque RDP

FIG: Exemplo de encaminhamento de porta bem-sucedido do servidor C2 do invasor para a vítima

Pivô Jump Box

Não apenas o RDP é a ferramenta perfeita para acessar sistemas comprometidos externamente,mas as sessões RDP também podem ser encadeadas em vários sistemas como uma maneira de mover-se lateralmente por um ambiente.

A FireEye observou agentes de ameaças usando o shell de rede nativo do Windowsnetsh) comando para utilizar o encaminhamento de porta RDP como uma maneira de acessar redes segmentadas recentemente descobertas, que só podem ser acessadas através de uma jump box administrativa.

Ataque RDP

“ Por exemplo , um agente de ameaça poderia configurar o jump box para escutar em uma porta arbitrária o tráfego sendo enviado de um sistema previamente comprometido. O tráfego seria então encaminhado diretamente através da caixa de salto para qualquer sistema na rede segmentada usando qualquer porta designada, incluindo a porta RDP padrão TCP 3389 , ”

Prevenção do Túnel RDP

Se o RDP estiver habilitado, os hackers terão uma maneira de se mover lateralmente e manter a presença no ambiente por meio de encapsulamento ou encaminhamento de porta. Para reduzir a vulnerabilidade e detectar esses tipos de ataques de RDP, as organizações devem se concentrar nos mecanismos de prevenção e detecção baseados em host e em rede.

  • Serviço de Área de Trabalho Remota: Desabilite o serviço de área de trabalho remota em todas as estações de trabalho de usuários finais e sistemas para os quais o serviço não é necessário para conectividade remota.
  • Firewalls com base em host: ative regras de firewall baseadas em host que negam explicitamente as conexões RDP de entrada.
  • Contas locais: Impedir o uso de RDP usando contas locais em estações de trabalho, habilitando a configuração de segurança “Negar logon através de serviços de área de trabalho remota”.

Fonte GBHackers