Dado que los investigadores ven tantos artefactos RDP en el curso de las respuestas a incidentes, naturalmente han desarrollado algunas herramientas favoritas para buscar dicha actividad. En este artículo, analizaremos en términos generales algunas de las opciones abiertas a los defensores. En la parte final de esta serie, profundizaremos en algunos de nuestros favoritos y repasaremos algunas de las consultas típicas que utilizan los investigadores de Sophos X-Ops para hacerlas efectivas.
En primer lugar, los defensores deben familiarizarse con 21-40 eventos de inicio de sesión localque cubren los ID típicos en el registro de eventos operativos del Administrador de sesión local de Terminal Services que muestran conexiones, desconexiones, reconexiones y actividades similares. También deben conocer la consulta 1149 RDP Logins, que busca en el registro de eventos operativos del Administrador de conexiones remotas de Terminal Services el ID de evento 1149 (como sugiere el nombre) para detectar esas conexiones RDP exitosas.
¿Redundante? Quizás, pero por una buena razón. Puede ser que el atacante haya borrado uno de los registros de eventos pero no el otro, lo que hace que la discrepancia en sí sea un artefacto interesante. (A lo largo de 2023, el equipo de respuesta a incidentes de Sophos X-Ops observó que los registros se habían borrado en aproximadamente el 32 % de los casos que manejaron). O puede ser que hubo un error al registrar ese evento por cualquier motivo, y un registro de eventos lo tiene y el otro no. Dado que ambos registros existen, consultarlos a ambos no es un esfuerzo en vano.
La consulta denominada Inicios de sesión RDP desde IP externas también es útil para detectar actividad inapropiada. El nombre deja claro lo que hace la consulta: busca conexiones RDP desde direcciones IP externas y comprueba los dos registros de eventos que acabamos de mencionar. (Esta consulta no mostrará conexiones que ingresan a través de una VPN, ya que a esas conexiones se les asignan direcciones del grupo de IP de VPN).
Una consulta menos utilizada y de gran utilidad para los defensores es 4624_4625 Eventos de inicio de sesión. Este busca en el registro de eventos de seguridad, como era de esperar por el nombre, 4624 eventos (que indican un inicio de sesión exitoso) o 4625 eventos (que indican un inicio de sesión fallido). Estas consultas son más útiles cuando se buscan inicios de sesión basados en la red; en los registros, ese es un inicio de sesión de tipo 3. Un inicio de sesión de RDP o Terminal Services (interactivo remoto), por otro lado, es un inicio de sesión de tipo 10.
Cuando buscamos un posible movimiento lateral de RDP, esta consulta puede ayudarnos a identificar inicios de sesión fallidos cuando la autenticación a nivel de red está habilitada. Con RDP, si no puede iniciar sesión y la autenticación a nivel de red o NLA está habilitada, verá un 4625, es decir, un inicio de sesión fallido con un tipo de inicio de sesión 3.
The following query will be of use when seeking devices that do not have NLA enabled (for ease of copying and pasting, we’ll also put a copy of this and other useful queries on our Github): SELECT path, name, data, strftime('%Y-%m-%dT%H:%M:%SZ',datetime(mtime,'unixepoch')) AS last_modified_time FROM registry WHERE key LIKE 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' AND name="SecurityLayer" AND data = 0
El uso de esta consulta de esta manera puede ser un poco confuso, porque es un inicio de sesión basado en red (normalmente asociado con algo como (por ejemplo) SMB) en lugar de un evento que mostraría un movimiento lateral a través de RDP. Sin embargo, si NLA está habilitado, el registro muestra el error del intento: se intentó una conexión RDP pero no tuvo éxito (4625). Un inicio de sesión RDP fallido donde NLA está habilitado aparece como un inicio de sesión tipo 3, ya que se autentica en toda la red antes de establecer la sesión RDP.
Ver eventos de inicio de sesión fallidos como estos puede alertarlo sobre intentos en su red. También puede alertarle sobre configuraciones incorrectas en su entorno. Los investigadores suelen buscar configuraciones erróneas cuando responden a incidentes; en particular, la NLA deshabilitada, junto con la configuración DisableRestrictedAdmin para el modo de administración restringido, es una configuración incorrecta peligrosa (y común), ya que elimina múltiples capas de posibles protecciones de seguridad. Por lo tanto, los defensores pueden consultar el registro para buscar la clave y el valor específicos que indican que NLA está deshabilitado, tal vez encontrando y solucionando el error antes de que surjan problemas.
Protocolo de escritorio remoto: la serie
Parte 1: Protocolo de escritorio remoto: Introducción (publicación, vídeo)
Parte 2: Protocolo de escritorio remoto: RDP expuesto (es peligroso) (publicación, video)
Parte 3: RDP: Consultas para investigación ([you are here]video)
Parte 4: Sesgo de zona horaria RDP (publicación, video)
Parte 5: Ejecutar la consulta RDP externa (publicación, video)
Parte 6: Ejecutar la consulta de inicio de sesión 4624_4625 (publicación, video)
Repositorio de consultas de GitHub: SophosRapidResponse/OSQuery
Repositorio de transcripciones: sophoslabs/video-transcripts
Lista de reproducción de YouTube: Protocolo de escritorio remoto: la serie
Fuente Original Sophos News
