Мой кабинет

Обнаружение угона RDP-сессий

Дэлавер, США – 19 сентября 2017 – Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года. В марте этого года исследователь Александр Корзников в своем блоге детально описал методики угона. В настоящий момент в мире около 2,5 миллионов открытых RDP-серверов, и, как показало исследование, примерно 0,5% из них были скомпрометированы одним из описанных методов. Этой угрозе подвержены все серверные ОС, а количество серверов, использующих RDP, постоянно увеличивается.

Злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри периметра компании. Чтобы не допустить угон RDP-сессий, рекомендуется использовать двухфакторную аутентификацию, но, к сожалению, это не всегда возможно. Обнаружить использование этого бэкдора достаточно сложно, поэтому в Use Case Cloud были обновлены кейсы Sysmon Framework для ArcSight и Sysmon Integration Framework для Splunk. Теперь они не только помогают обнаружить действия APT или утечку данных, но и предупреждают администратора о запуске вредоносных команд с целью угнать RDP-сессию. В Use Case Cloud вы можете проголосовать за создание кейса Sysmon Framework для QRadar. Также вы можете воспользоваться кейсом Windows Security Monitor для мониторинга событий безопасности в областях контроля доступа, управления пользователями, управления группами и обслуживания систем и сервисов.

Sysmon Framework для ArcSight – https://ucl.socprime.com/use-case-library/info/425/
Sysmon Integration Framework для Splunk – https://ucl.socprime.com/use-case-library/info/391/

Related Posts