Hoe RDP-aanvallen (Remote Desktop Protocol) voorkomen?

RDP is gebaseerd op de T-120-protocolfamiliestandaarden en werd voor het eerst bekend toen Microsoft gebruikers toestond om op afstand verbinding te maken met andere computers en deze via netwerken te bedienen. Het beveiligt netwerkcommunicatie en stelt gebruikers in staat om desktops op afstand te bedienen.

RDP is echter niet zonder risico's. Het kan worden misbruikt om ongeoorloofde toegang tot apparaten te verkrijgen. Sinds de introductie zijn er 16 grote Windows-releases geweest, wat betekent dat kwaadwillenden volop kansen hebben gehad om het te kapen en op afstand toegang te krijgen tot Windows-servers en -apparaten. In deze handleiding wordt uitgelegd hoe u RDP-aanvallen kunt voorkomen en beschermd kunt blijven.

Wat is een RDP-aanval (Remote Desktop Protocol)?

RDP is een door Microsoft ontwikkeld communicatieprotocol waarmee gebruikers op afstand desktopapparaten (of elk apparaat met een Microsoft-besturingssysteem) kunnen bedienen. Externe desktopverbindingen maken gebruik van TCP-poort 3389 (Transmission Control Protocol), de belangrijkste hub voor externe verbindingen. Wanneer kwaadwillenden de versleutelde kanalen compromitteren en overnemen, spreken we van een Remote Desktop Protocol-aanval.

Hier volgt een korte uitleg over hoe RDP-aanvallen werken:

• Aanvallers beginnen eerst met het scannen van uw RDP-poort. Als er actieve apparaten op zijn aangesloten, dienen deze als toegangspunt tot uw netwerk. De bedreiger kan via deze poort met brute kracht het netwerk binnendringen en profiteren van de grote hoeveelheid RDP-verbindingen.
• Nadat ze erin geslaagd zijn om de eerste inbreuk te plegen, scannen de aanvallers hele netwerken met subnetten en breiden ze hun penetratie uit. Hij kan de Windows Management Instrumentation™-verbindingen gebruiken voor meerdere eindpunten in gedistribueerde computeromgevingen of externe procedureaanroepen en verschillende aanvallen uitvoeren.
• Wanneer een apparaat is gecompromitteerd, neemt de aanvaller de controle over. Met behulp van de command-and-control-interface stuurt hij commando's naar andere eindpunten en netwerken in de infrastructuur. Hij kan de gecompromitteerde machine gebruiken om nieuwe RDP-verbindingen met niet-standaardpoorten tot stand te brengen.
• Wanneer een aanvaller dit stadium bereikt, kan hij zich lateraal in netwerken verplaatsen en dieper in uw onderneming doordringen. Hij kan toegang krijgen tot meer privileges, gevoelige gegevens ophalen en zich meester maken van waardevolle bronnen. Wanneer ze dit punt bereiken, kunnen ze ook detectie door de nieuwste beveiligingsstack van de organisatie omzeilen.

Hoe maken cybercriminelen misbruik van RDP?

RDP-aanvallen zijn specifiek gericht op gedistribueerde werknemers en externe contractanten. Het kapen van computerintensieve bronnen is zeer waardevol en RDP kan een beter inzicht geven in de toegang tot Windows-servers en -sessies.

Traditionele RDP beschikte niet over de beveiligings- en privacymaatregelen die we vandaag de dag kennen. Een combinatie van gebruikersnaam en wachtwoord was alles wat nodig was voor gebruikersauthenticatie. RDP beschikte standaard niet over ingebouwde multi-factor authenticatie.

Hoe detecteert u ongeautoriseerde RDP-toegang?

Hieronder vindt u stappen die u kunt nemen om ongeautoriseerde RDP-toegang te detecteren:

• Controleer uw RDP-logboeken op tekenen van vreemd gedrag of kwaadaardige activiteiten. Zoek naar mislukte inlogpogingen, frequente aanmeldingen en aanmeldingen vanaf onbekende IP-adressen. Deze pogingen wijzen erop dat de hacker heeft geprobeerd toegang te krijgen tot het systeem.
• U kunt het netwerkverkeer onderzoeken en analyseren met behulp van netwerkmonitoringtools zoals SentinelOne. Probeer te zoeken naar netwerkanomalieën, vreemde verkeerspatronen en kijk of er veel gegevens worden verzonden naar of afkomstig zijn van specifieke IP-adressen.
• Poort 3389 zal pieken in activiteit vertonen als er iets misgaat. Registreer en monitor uw netwerkverkeer en scan het om ongewenste toegangspogingen te identificeren.

Best practices om RDP-aanvallen te voorkomen (meer dan 10)

Hier volgen enkele best practices die u in volgorde kunt toepassen. Zodra u deze implementeert, begrijpt u hoe u RDP-aanvallen kunt voorkomen:

• Maak supersterke wachtwoorden door speciale tekens, cijfers, letters en symbolen te combineren. We raden een lengte van minimaal 15 aan. Het is ook raadzaam om wachtwoorden te versleutelen en niet hetzelfde wachtwoord voor alle accounts te gebruiken. Gebruik een wachtwoordkluis als u moeite heeft om al uw wachtwoorden te onthouden en bij te houden.
• Pas Microsoft-updates automatisch toe voor al uw client- en serversoftwareversies. Zorg ervoor dat de instelling is ingeschakeld en dat updates op de achtergrond worden geïnstalleerd zonder handmatige verzoeken. U moet ook prioriteit geven aan het patchen van RDP-kwetsbaarheden met bekende openbare exploits.
• Implementeer meervoudige authenticatie en gebruik de nieuwste accountbewakingsbeleidsregels om brute-force-aanvallen tegen te gaan. Voor extra veiligheid moet u ook de standaard RDP-poort wijzigen van 3389 naar een andere poort.
• Gebruik een witte lijst voor uw verbindingen en beperk deze tot specifieke vertrouwde hosts. We raden aan om de toegang tot de Remote Desktop-poort te beperken tot alleen geselecteerde en geverifieerde IP-adressen. Als u de serverinstelling wijzigt, wordt voorkomen dat verbindingspogingen van IP-adressen die buiten de reikwijdte van de allowlist vallen, worden geaccepteerd. Kwaadwillige pogingen en processen worden automatisch geblokkeerd.
• Bouw een Zero Trust Network Security Architecture (ZTNA) en pas het principe van minimale toegangsrechten toe op alle accounts. Het is van cruciaal belang om regelmatig controles uit te voeren en ervoor te zorgen dat alle RDP-poorten veilig blijven.
• Beperk de toegang tot RDP-verbindingen door firewalls te installeren. Voeg ook de adrespool van het virtuele privénetwerk van het bedrijf toe aan uw RDP-firewalluitzonderingsregels. Schakel authenticatie op netwerkniveau in voordat u nieuwe RDP-verbindingen tot stand brengt.
• Stel externe desktopservers zo in dat ze verbindingen zonder NLA accepteren als u externe desktopclients gebruikt op niet-ondersteunde platforms. Controleer uw groepsbeleidsinstellingen en maak gebruikersauthenticatie verplicht voor alle externe verbindingen.
• U kunt ook beleidsregels voor accountvergrendeling instellen. Bij een bepaald aantal onjuiste pogingen voorkomt dit dat hackers ongeoorloofde toegang krijgen met behulp van geautomatiseerde tools voor het raden van wachtwoorden. U kunt maximaal drie ongeldige pogingen instellen met een blokkeringsduur van drie minuten per poging.
• Gebruik geavanceerde AI-oplossingen voor dreigingsdetectie en malwarebestrijding. Stel achtergrondscanprocessen en endpointbeveiligingsmonitoring in, zodat uw apparaten, netwerken en gebruikers voortdurend worden gecontroleerd. Dit helpt aanvallen van binnenuit en schaduw-IT te voorkomen en voegt een extra beschermingslaag toe.
• Leer uw medewerkers hoe ze mislukte RDP-verbindingen en toegangs pogingen kunnen herkennen. Moedig hen aan om hun bevindingen indien nodig anoniem te melden en bevorder een cultuur van transparantie op de werkplek. Als uw medewerkers actief en betrokken zijn, zal het hele team op één lijn zitten. Al uw afdelingen moeten weten hoe ze RDP-aanvallen kunnen voorkomen en zich bewust zijn van de stappen die aanvallers nemen om controles en privileges te escaleren. Veiligheid begint met het beschermen van de gebruikers die deze technologieën gebruiken, voordat automatiseringstools en workflows voor verdediging worden ingezet.

Hoe te reageren op een RDP-aanval?

Gebruik SentinelOne Singularity XDR Platform om incidentonderzoek te automatiseren en de beste RDP-playbookpraktijken toe te passen. U kunt uw SOC-team helpen om sneller te reageren. Hieronder vindt u de stappen die u moet nemen als u te maken krijgt met een RDP-infectie:

• Blokkeer het IP-adres van de gecompromitteerde gebruiker en aanvaller zodra u dit ontdekt. Dit zal de dreiging indammen en helpen in quarantaine te plaatsen. Start een ASN-onderzoek en bekijk de activiteiten van de gebruiker. Gebruik de XSOAR-module van SentinelOne om RDP-gerelateerde campagnes te detecteren.
• Singularity Threat Intelligence en Purple AI kunnen u diepere inzichten geven over het IP-adres van de aanvallers. Isoleer de gecompromitteerde eindpunten en haal activiteiten op volgens verschillende MITRE-fasen. SentinelOne begeleidt u bij het hele proces, van verrijking en onderzoek tot respons. U kunt het incident afsluiten, bijwerken en synchroniseren met XDR. U kunt alle informatie over interne en externe gebruikersbeheer-ecosystemen bekijken vanuit het uniforme dashboard en de console.
• Als u een diepgaand onderzoek wilt uitvoeren, kunt u overwegen om de threat hunting-services van SentinelOne uit te proberen. Deze diensten brengen andere IoC's (Indicators of Compromise) die verband houden met het IP-adres of de campagnes van aanvallers.
• Blijf het platform van SentinelOne gebruiken om u te verdedigen tegen RDP-brute-force-aanvallen en de kritieke activa van uw organisatie te beschermen. Implementeer de beste cyberbeveiligingsmaatregelen en versterk uw cloudbeveiliging tegen opkomende bedreigingen.

Praktijkvoorbeelden van op RDP gebaseerde cyberaanvallen

De standaardpoort 3389 van RDP kan worden gebruikt om on-path-aanvallen uit te voeren. BlueKeep was een van de ernstigste RDP-kwetsbaarheden en werd officieel aangeduid als CVE-2019-0708. Het was een remote-code execution (RCE) zonder authenticatie en volgde een specifiek formaat. Het was werkbaar en verspreidde zich uiteindelijk naar andere machines binnen het netwerk. Gebruikers konden niets doen en kwaadwillenden hadden systemen gecompromitteerd door ongeoorloofde toegang te verkrijgen en zich tijdens het hele proces lateraal binnen het netwerk te verplaatsen. Ze hadden hun privileges uitgebreid en malware geïnstalleerd, en zelfs ransomware ingezet.

Aanvallers kunnen snel verkeerd geconfigureerde RDP-poorten identificeren en aanvallen uitvoeren met behulp van webcrawlers zoals Shodan. Ze kunnen brute-force-aanvallen uitvoeren en automatisch ongeoorloofde toegang verkrijgen en zelfs man-in-the-middle-aanvallen (MitM) aanvallen starten. Malwaremodules zoals Sodinokibi, GandCrab en Ryuk kunnen ook betrokken zijn bij RDP-aanvallen. Dit was het geval bij de RobinHood-ransomwareaanval op de stad Baltimore.

Mitigate RDP-aanvallen met SentinelOne

SentinelOne kan Remote Desktop Protocol-verbindingen blokkeren, inclusief verdachte P2P-remote desktop-aanvallen. Het kan zijn endpoint security-mogelijkheden gebruiken om externe toegang voor volledige externe shell te beveiligen. U kunt de agent van SentinelOne implementeren en alle applicaties en bestanden monitoren, inclusief RDP-gerelateerde processen en verbindingen.

SentinelOne kan automatisch externe toegang implementeren voor alle apparaten, inclusief RDP-gerelateerde apparaten.

U kunt SentinelOne ook gebruiken om acties te ondernemen, zoals bestanden in quarantaine plaatsen en ongeautoriseerde wijzigingen ongedaan maken. Het kan P2P RDP-aanvallen detecteren en blokkeren die gebruikmaken van kant-en-klare commerciële tools zoals TeamViewer of VMC voor externe bediening.

U kunt ook de nieuwste kwetsbaarheden detecteren en u ertegen beschermen, zoals de BlueKey-kwetsbaarheid, die bekend staat om het aanvallen en misbruiken van RDP-verbindingen. SentinelOne biedt aanvullende beveiligingsmaatregelen, zoals het implementeren van op beleid gebaseerde toegangscontroles. Het gebruikt speciale wachtwoorden om elke sessie te versleutelen en implementeert ook multi-factor authenticatie.

Het kan tweefactorauthenticatie toepassen voordat toegang wordt verleend en beschikt over gedetailleerde auditgegevens.

SentinelOne kan ook worden gebruikt om externe toegang tot alle apparaten te implementeren, inclusief RDP-gerelateerde processen en verbindingen.

De agent en het opdrachtregelprogramma van SentinelOne kunnen de agents beheren. Het kan de status controleren, diagnostische tests uitvoeren en eindpunten bewaken en beschermen. SentinelOne kan ook worden geïntegreerd met andere platforms zoals SonicWall en NinjaOne met zijn speciale app. Het zorgt voor naadloze RDP-verbindingen tussen meerdere platforms en biedt de beste geïntegreerde beveiliging op basis van AI.

Boek een gratis live demo.

Conclusie en CTA

RDP-aanvallen blijven een bedreiging voor organisaties van elke omvang. U kunt zich tegen dergelijke aanvallen verdedigen door de aanbevelingen in deze gids op te volgen. U hebt goede wachtwoorden, meervoudige authenticatie en regelmatige updates nodig om veilig te blijven. U kunt verdachte activiteiten vroegtijdig opsporen door het netwerkverkeer en de RDP-logboeken te controleren. U moet RDP uitschakelen wanneer u het niet gebruikt en de toegang beperken via firewalls en allowlists. Maar voor een goede verdedigingshouding hebt u geavanceerde tools en training van uw medewerkers nodig. SentinelOne biedt AI-gestuurde bescherming die automatisch RDP-gebaseerde bedreigingen detecteert en blokkeert, waardoor u volledig inzicht en controle krijgt over uw externe desktopomgeving.

Bescherm uw onderneming vandaag nog met SentinelOne.

FAQs