遠程桌面協議(Remote Desktop Protocol，簡稱RDP)是用于遠程控制系統較流行的通信協議之一，適用于當前大多數Windows操作系統，通過提供圖形用戶界面，允許用戶遠程訪問服務器或其他計算機。Microsoft甚至將其定位為管理運行Windows系統Azure虛擬機的默認方法。

由于RDP是一種非常流行的協議，攻擊者一旦獲取訪問權限，就會使用其轉移到其他系統，所以，RDP也成功吸引了攻擊者的目光。因為他們意識到，相較于利用沒有必勝把握的漏洞，使用RDP這種遠程訪問工具明顯更加高效——只需獲得正確的憑據即可訪問企業網絡。

根據最近的X-Force報告，竊取訪問這些系統的憑據是暗網上利潤最可觀的生意之一，不過，這些直接暴露的服務器并不是攻擊者使用(或者說濫用)RDP的唯一系統，他們的目標之一是融入常規流量。

[[438173]]

RDP如何運行?

在深入探討RDP威脅和防御之前，最好先了解一下它是如何運行的。RDP是一個雙向通信協議。它可以將服務器的屏幕輸出傳輸到客戶端;將鍵盤和鼠標的輸入內容從客戶端傳輸到服務器;這個過程是非對稱的，因為大多數數據都是從服務器到客戶端，但客戶端返回數據很少?？蛻舳撕头掌髟诮⑼ㄐ胖氨仨毥洑v多個階段。

客戶端連接后，就與服務器使用設置(例如屏幕分辨率)、支持功能與許可證信息達成一致。然后，它們就RDP安全類型達成一致，并從兩種支持模式中進行選擇：一是標準模式，基于RC4;二是增強模式，其中RDP依賴于其他協議，例如TLS或CredSSP。

最后，客戶端與服務器必須就所需的通道數量達成一致。所謂通道即單獨的數據流，每個數據流都有自己的ID，從而構成遠程桌面協議。這些通道可以重定向對文件系統的訪問，或啟用客戶端與服務器之間的剪貼板共享。

RDP相關漏洞及APT組織

BlueKeep

2019年，研究人員發現了RDP中的一個關鍵漏洞，稱為“BlueKeep”，利用該漏洞(CVE-2019-0708)可遠程執行隨機代碼，無需用戶執行任何操作，同時無需有效憑證。這些事實結合起來可能會導致蠕蟲——可以在易受攻擊的系統間自我傳播的惡意軟件。幾年前出現的Wanncry惡意軟件中曾發現過了類似事情。BlueKeep的顯著特點是它可以連接到較老的Windows系統。這迫使微軟采取奇怪的步驟為其不再支持的系統版本制作新補丁。

DejaBlue

2019年8月，研究人員公布DejaBlue——它不是一個漏洞，而是一系列漏洞，類似于BlueKeep，允許攻擊者在沒有任何形式的身份驗證情況下劫持易受攻擊的系統。與BlueKeep不同的是，DejaBlue的漏洞位于較新版本的Windows中。有時候，攻擊者無需濫用漏洞，只要簡單地利用配置錯誤就能進行攻擊。RDP安全中一些常見的風險包括：弱用戶登錄憑據;未對RDP登錄服務器的行為進行記錄或監控，這些系統允許攻擊者隨意嘗試蠻力或密碼噴灑攻擊;未經任何網絡過濾公開暴露的系統。

經常利用RDP實施攻擊的組織包括：APT41、FIN6、FIN7等組織使用RDP進行橫向移動;FLIPSIDE等組織使用RDP來竊取信息，例如，Ngrok 就是一個合法的反向代理，可以通過對RDP中的流量隧道化來滲漏受害者數據;WannaCry惡意軟件可以在現有的遠程桌面會話中執行惡意軟件，這種對會話的“竊取”行為通常稱為“RDP劫持”。

防范建議

雖然存在諸多安全風險，但RDP仍然可以為我們提供很多價值。想要保護遠程桌面服務器，需要考慮許多關鍵因素。

首先，補丁管理是基礎，確保系統始終保持最新狀態，尤其是對于關鍵的遠程訪問服務而言，其重要性不言而喻。其次，大多數情況下，組織無需向全世界公開RDP，組織可以使用防火墻、IP限制、通過虛擬專用網限制訪問或使用即時訪問，后者大大降低了風險，并且可以確保組織在需要時隨時訪問該服務。再次，確保不要為啟用RDP的帳戶使用易于猜測的密碼。如果不需要，不要允許遠程訪問所有系統用戶。

此外，實現某種形式的自動帳戶鎖定非常有意義，可以防止攻擊者通過暴力破解來猜測密碼。組織可能還需要啟用網絡級別身份驗證或NLA——這是一種緩解措施，可防止對RDP隧道的意外訪問。

監控和取證工件

無論組織的RDP設置多么安全，總會有攻擊者抓到機會的時候。這時，組織需要依靠日志記錄和監控來分析正在發生的事情。

RDP取證工件的重要來源包括：命令quser、qwinsta和qprocess提供有關RDP用戶、會話和進程的信息;Microsoft-Windows-Terminal-Services-RemoteConnectionManager和Windows-TerminalServices-LocalSessionManager通知客戶端網絡連接以及RDP會話的起止; 最后，Microsoft-Windows-Security-Auditing包括認證嘗試成功或失敗的事件。

盡管RDP確實存在諸多風險，而且攻擊者對遠程訪問工具的興趣也日趨高漲，但這并不意味著組織不能以安全和可控的方式部署它們。如果組織充分考慮上述預防措施，并設置了足夠的日志記錄和監控策略，應該會收到不錯的效果。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文