關鍵詞

網絡攻擊

在針對歐洲政府和軍事機構的復雜間諜活動中，被認為與俄羅斯國家行為者有關的黑客一直在利用 Windows遠程桌面協議(RDP)中鮮為人知的功能來滲透系統。

谷歌威脅情報小組 (GTIG) 已確認這波新網絡攻擊是其所稱 UNC5837 組織所為。

該活動于 2024 年 10 月開始觀察，采用一種獨特的方法，即發送帶有 .rdp 文件附件的網絡釣魚電子郵件。這些文件一旦執行，就會從受害者的計算機啟動到攻擊者控制的服務器的 RDP 連接，而無需典型的交互式會話警告橫幅。

GTIG 將這種方法描述為“Rogue RDP” ，它允許攻擊者以合法應用程序檢查為幌子訪問受害者的文件系統、剪貼板數據，甚至系統變量。攻擊者與烏克蘭國家安全通信和信息安全局合作，發送了聲稱來自亞馬遜和微軟等知名組織的電子郵件。

資源重定向和 RemoteApps

這些電子郵件包含使用有效SSL 證書簽名的 .rdp 文件，以繞過警告用戶潛在風險的安全措施。

這些文件配置為將資源從受害者的機器映射到攻擊者的服務器：一旦執行，.RDP 文件就會啟用兩個關鍵的攻擊媒介：

1. 驅動器和剪貼板重定向：該配置授予攻擊者對所有受害驅動器的讀/寫訪問權限，從而暴露文件系統、環境變量和剪貼板數據（包括用戶復制的密碼）。虛擬機設置加劇了風險，因為主機和客戶系統之間的剪貼板同步擴大了盜竊范圍。
2. 欺騙性 RemoteApps：受害者無法獲得完整的桌面訪問權限，而是看到一個名為“AWS 安全存儲連接穩定性測試”的窗口應用程序。此 RemoteApp 完全托管在攻擊者服務器上，在 RDP 會話的加密通道內運行時偽裝成本地工具。

值得注意的是，攻擊者利用 Windows 環境變量（%USERPROFILE%、%COMPUTERNAME%）作為 RemoteApp 的命令行參數，從而無需部署惡意軟件即可進行偵察。

這些功能的使用減少了攻擊的足跡，使事件響應人員更難檢測和分析漏洞。

GTIG 還強調了 PyRDP 等 RDP 代理工具的潛在用途，它可以自動執行文件泄露、剪貼板捕獲或會話劫持等任務。

雖然缺乏將 PyRDP 與此特定活動聯系起來的直接證據，但其功能與觀察到的攻擊媒介相符：

• 竊取用于向 RDP 服務器進行身份驗證的憑據。
• 捕獲用戶的剪貼板內容，其中可能包括密碼等敏感信息。
• 盡管不是直接在受害者的機器上執行命令，但在 RDP 服務器上執行命令。

由于本機日志記錄有限，檢測仍然很困難。關鍵指標包括：

• 注冊表工件：攻擊者 IP 和用戶名HKEY_USERS\...\Terminal Server Client\Servers
• 臨時文件：MSTSC 生成的 .tmp 文件%APPDATA%\Local\Temp
• 可疑進程：源自 mstsc.exe1 的文件寫入

為了降低風險，Microsoft 建議：

• 對 RDP 連接強制實施網絡級別身份驗證 (NLA)
• 此次活動的發現凸顯了組織加強防御的必要性：通過組策略阻止來自不受信任的發布者的 .RDP 文件

禁用驅動器重定向并限制剪貼板訪問

• 組織應該禁用未簽名的 .rdp 文件的執行，并且只允許來自受信任的發布者的連接。
• 增強對源自 RDP 會話的異常文件創建事件的日志記錄和監控可以幫助檢測此類入侵。
• 應該培訓用戶識別并安全處理可疑的電子郵件附件，特別是來自未知來源的 .rdp 文件。

隨著 RDP 等技術的發展，網絡犯罪分子的手段也在不斷變化。在潛在攻擊中部署 PyRDP 等工具凸顯了一種日益增長的趨勢，即攻擊者利用現有系統功能進行隱秘、持久的訪問，因此所有組織都必須不斷更新安全實踐。

來源：https://cybersecuritynews.com/hackers-exploiting-windows-rdp-files-for-rogue-remote-desktop-connections/

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！