Remote Desktop Protocol
Wat doe je als een hacker langs de perimeterverdediging is geglipt om jouw Remote Desktop Protocol (RDP) te infiltreren? Technieken zoals het gebruik van VPN's en multi-factor authenticatie (MFA), die gericht zijn op het voorkomen van ongeautoriseerde externe toegang tot het Remote Desktop Protocol (RDP), zullen namelijk niet werken als de aanvaller zich al in het netwerk bevindt. Als organisatie zal je dus ook wat moeten doen om de beweging binnen je netwerk op te sporen.
ⓘ Het Microsoft Remote Desktop Protocol (RDP) is een protocol of technische standaard voor het op afstand gebruiken van een desktopcomputer. Het protocol biedt beveiligde verbindingen tussen cliënten, servers en virtuele machines. Het stelt netwerkbeheerders bijvoorbeeld in staat om op afstand de problemen van individuele gebruikers te diagnosticeren en geeft gebruikers op afstand toegang tot hun fysieke werkdesktopcomputers. Het RDP is nu relevanter dan ooit, aangezien Microsoft's Azure- en Hyper-V-platforms het zijn gaan gebruiken als het standaard externe verbindingsprotocol en de interesse in dit protocol door aanvallers toeneemt, zowel als een initiële infectievector als methode om het verder te verspreiden.
Volgens het Active Adversary Playbook van Sophos was de gemiddelde verblijfstijd (de tijd die een aanvaller gemiddeld in een netwerk actief is) van de door Sophos onderzochte gevallen 11 dagen. Omgerekend 264 uur. Dat is aardig wat tijd voor een hacker om zijn hack succesvol uit te voeren. Ongeveer 90% van de cyberaanvallen die door Sophos werden onderzocht, betrof misbruik van het Remote Desktop Protocol (RDP). Uit het onderzoek kwam naar voren dat, hoewel het RDP vaak wordt gebruikt om de eerste toegang tot organisaties te krijgen (vooral tijdens ransomware-aanvallen), het ook in 69% van de incidenten door aanvallers werd gebruikt voor de zogenaamde ‘lateral movement’.
Lateral movement: beweging binnen het netwerk
Hackers brengen zoveel tijd door op een netwerk om zich eerst te vermengen met routinematige IT-activiteiten om vervolgens de hack zo goed mogelijk uit te voeren. Het is daarom van cruciaal belang dat je als netwerkbeveiliger de waarschuwingssignalen grondig begrijpt. Maar waar moet je op letten? Wat ga je onderzoeken? Een van de grootste alarmsignalen is natuurlijk wanneer een legitieme applicatie of activiteit op een onverwachte plaats wordt waargenomen. Maar veelal worden dit soort activiteiten pas ontdekt wanneer het al te laat is. Een manier om aanvallers te detecteren lang voordat ze ingrijpen, is via fysieke of virtuele Honeypots.
ⓘ Canaries zijn vereenvoudigde honeypots die zich voordoen als bijvoorbeeld een Windows server. Ze zijn ontworpen om een hacker tot nader onderzoek te verleiden, waarna een hacker zich zal verraden en de Canary jou op de hoogte zal brengen van het incident.
Canary RDP service
Perimeterverdediging kan veel kan doen, maar in het huidige dreigingslandschap is dat op zichzelf helaas niet genoeg is. Om de lateral movement van Hackers binnen het netwerk effectief te kunnen detecteren, heeft biedt GroupSecure nu ook de mogelijkheid om de Canary Honeypot een volwaardige RDP-service te laten imiteren. De service ondersteunt RDP-negotation, TLS en NLA-autorisatie (Network Level Authentication - NTLMv2), om zo de noodzakelijke Windows protocollen te imiteren op jouw Windows servers. De honeypots zijn zo ontworpen zodat ze zo veel mogelijk informatie van de hacker opvragen, (zoals de browser plug-ins en het (echte) IP-adres), zonder dat ze informatie loslaten over wat ze daadwerkelijk zijn. Voor een aanvaller zien ze er net zo uit en gedragen ze zich net zo als een echte server met de RDP-service actief.
Meer weten over deze oplossing? Kijk eens op de product-pagina of neem gerust contact met ons op. Wij vertellen je er graag alles over.
