Microsoft desarrolló el Protocolo de escritorio remoto (RDP) para permitir a los usuarios, administradores y otras personas conectarse a computadoras remotas a través de una conexión de red mediante una práctica interfaz gráfica de usuario (GUI). Las herramientas necesarias para ello vienen de serie en Microsoft Windows; Para iniciar y configurar una conexión RDP, todas las herramientas necesarias para hacerlo están presentes de forma predeterminada. Esta es la razón por la que los usuarios y administradores utilizan ampliamente RDP en todas las redes para acceder a máquinas remotas.
Desafortunadamente, los grupos de ransomware también suelen abusar de él; de hecho, es tan común que en nuestros informes regulares de adversarios activos nuestros editores se ven obligados a tratar RDP de manera diferente en los gráficos, por lo que otros hallazgos son incluso visibles. Y el abuso de RDP está aumentando, como vemos en la Figura 1: cifras de los últimos años de datos de respuesta a incidentes recopilados por el equipo de Active Adversary Report. En la edición del informe que publicaremos el próximo mes, verá que RDP ha superado la marca del 90 por ciento, es decir, nueve de cada diez casos de IR incluyen abuso de RDP.
Figura 1: Un primer vistazo al conjunto de datos completo de Active Adversary de 2023 muestra que el abuso de RDP está empeorando
Hoy, para brindar contexto y consejos a los administradores y socorristas que buscan lidiar con RDP, publicamos un paquete completo de recursos: videos, artículos complementarios con información adicional y una constelación de scripts e información adicionales en nuestro repositorio de GitHub. Estamos haciendo esto para compartir la investigación de nuestro equipo de Active Adversary más allá de los informes extensos habituales que publicamos y para proporcionar lo que esperamos sea un conjunto útil de recursos para manejar una de las dolencias crónicas más molestas de la seguridad de la información.
Desde el punto de vista de un atacante, apuntar a RDP es una elección natural. Lo más significativo es que es una herramienta proporcionada por Microsoft (es decir, un binario que vive de la tierra, o LOLBin) que se integra con el comportamiento administrativo y de usuario típico. Su uso por sí solo no suele llamar la atención si nadie lo vigila, y un atacante no necesita utilizar herramientas adicionales que puedan ser detectadas por EDR u otras herramientas anti-intrusión. RDP también tiene una interfaz gráfica de usuario relativamente agradable que reduce la barrera de habilidades para que los atacantes exploren archivos en busca de exfiltración e instalen y utilicen varias aplicaciones.
Los atacantes también saben que RDP suele estar mal configurado o mal utilizado dentro de un entorno, tanto en servidores como ocasionalmente en los propios puntos finales. El siguiente artículo de esta colección de RDP analiza cuán común es dicha exposición y si medidas como apagar el puerto 3389 habitual de RDP marcan la diferencia. (Spoiler: No.)
Para completar el sombrío panorama de RDP, vemos problemas propios como la falta de segregación, el uso de credenciales débiles, la desactivación (por parte de los administradores) de posibles protecciones como NLA (autenticación a nivel de red)y un flagrante desprecio por las mejores prácticas, como el privilegio mínimo. En el lado positivo, existen consultas útiles y sólidas que pueden brindar una gran información sobre cómo se utiliza RDP en su red… si sabe dónde buscar.
Entonces, para brindar contexto y consejos a los administradores y respondedores que buscan lidiar con RDP, estamos comenzando con un paquete completo de recursos: seis videos, seis artículos complementarios con información adicional y una constelación de scripts e información adicionales en nuestro GitHub. y se agregarán más con el tiempo según lo dicten los eventos.
Protocolo de escritorio remoto: la serie
Parte 1: Protocolo de escritorio remoto: Introducción ([you are here]video)
Parte 2: Protocolo de escritorio remoto: RDP expuesto (es peligroso) (publicación, video)
Parte 3: RDP: Consultas para investigación (publicación, video)
Parte 4: Sesgo de zona horaria RDP (publicación, video)
Parte 5: Ejecutar la consulta RDP externa (publicación, video)
Parte 6: Ejecutar la consulta de inicio de sesión 4624_4625 (publicación, video)
Repositorio de consultas de GitHub: SophosRapidResponse/OSQuery
Repositorio de transcripciones: sophoslabs/video-transcripts
Lista de reproducción de YouTube: Protocolo de escritorio remoto: la serie
Fuente Original Sophos News
