Protocolo de escritorio remoto: ejecución de la consulta RDP externa

La función de la consulta RDP Logins from External IPs.sql es bastante autoexplicativa, basándonos en el nombre. En este post, la utilizaremos para buscar conexiones RDP satisfactorias que hayan tenido lugar desde direcciones IP externas, es decir, cualquiera que no sea RFC 1918. Para esta demostración, haremos el trabajo de construir y ejecutar la consulta en sí a través de nuestro propio servicio Sophos Central, pero lo básico es válido independientemente de la herramienta de investigación. Como alternativa, el vídeo “Ejecutar la consulta RDP externa” enlazado a continuación muestra los pasos relevantes, en lugar de describirlos como hacemos aquí.

Crear y ejecutar la consulta

El primer paso es crear la consulta, para eso en Sophos Central ve a:

Centro de Análisis de Amenazas > Live Discover > Modo Diseñador

haciendo clic en el botón Crear nueva consulta, como se muestra en la Figura 1.

Al hacer clic en el botón se abre una pantalla con un cuadro SQL, en el que pegarás la siguiente consulta (también disponible en nuestro Github):

SELECT 

strftime('%Y-%m-%dT%H:%M:%SZ',datetime) AS date_time, 

eventid, 

CASE eventid 

   WHEN 21 THEN eventid || ' - Session logon succeeded' 

   WHEN 22 THEN eventid || ' - Shell start notification received' 

   WHEN 25 THEN eventid || ' - Session reconnection successful' 

   ELSE NULL 

END AS description, 

JSON_EXTRACT(data, '$.UserData.User') AS username, 

SUBSTR(JSON_EXTRACT(data, '$.UserData.User'), 1, INSTR(JSON_EXTRACT(data, '$.UserData.User'), '\') - 1) AS domain, 

JSON_EXTRACT(data, '$.UserData.Address') AS source_IP, 

JSON_EXTRACT(data, '$.UserData.SessionID') AS session_ID, 

CASE 

    WHEN JSON_EXTRACT(data, '$.UserData.Address') GLOB '*[a-zA-Z]*' THEN 'private_IP' 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Address'), '192.168.') = 1 THEN 'private_IP'   

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Address'), '172.') = 1 AND CAST(SUBSTR(JSON_EXTRACT(data, '$.UserData.Address'), 5, 2) AS INTEGER) BETWEEN 16 AND 31 THEN 'private_IP' 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Address'), '10.') = 1 THEN 'private_IP' 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Address'), '127.') = 1 THEN 'private_IP' 

    WHEN JSON_EXTRACT(data, '$.UserData.Address') = '0.0.0.0' THEN 'private_IP' 

    WHEN JSON_EXTRACT(data, '$.UserData.Address') LIKE '%::%' THEN 'unknown' 

    WHEN JSON_EXTRACT(data, '$.UserData.Address') = '' THEN 'private_IP' 

   ELSE 'external_IP' 

END AS status, 

'TS LocalSession EVTX' AS data_source, 

'Logins.01.4' AS query 

FROM sophos_windows_events 

WHERE source = 'Microsoft-Windows-TerminalServices-LocalSessionManager/Operational' 

    AND eventid IN (21,22,25) 

    AND (status = 'external_IP' OR status = 'unknown') 

  

UNION ALL 

  

SELECT 

strftime('%Y-%m-%dT%H:%M:%SZ',datetime) AS date_time, 

eventid, 

CASE eventid 

   WHEN 1149 THEN eventid || ' - User authentication succeeded' 

   ELSE NULL 

END AS description, 

JSON_EXTRACT(data, '$.UserData.Param1') AS username, 

JSON_EXTRACT(data, '$.UserData.Param2') AS domain, 

JSON_EXTRACT(data, '$.UserData.Param3') AS source_IP, 

NULL AS Session_ID, 

CASE 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Param3'), '192.168.') = 1 THEN 'private_IP' 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Param3'), '172.') = 1 AND CAST(SUBSTR(JSON_EXTRACT(data, '$.UserData.Param3'), 5, 2) AS INTEGER) BETWEEN 16 AND 31 THEN 'private_IP' 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Param3'), '10.') = 1 THEN 'private_IP' 

    WHEN INSTR(JSON_EXTRACT(data, '$.UserData.Param3'), '127.') = 1 THEN 'private_IP' 

    WHEN JSON_EXTRACT(data, '$.UserData.Param3') = '0.0.0.0' THEN 'private_IP' 

    WHEN JSON_EXTRACT(data, '$.UserData.Param3') LIKE '%::%' THEN 'unknown' 

    WHEN JSON_EXTRACT(data, '$.UserData.Param3') = '' THEN 'private_IP' 

    ELSE 'external_IP' 

END AS status, 

'TS RemoteConnection EVTX' AS data_source, 

'Logins.01.4' AS query 

FROM sophos_windows_events 

WHERE source = 'Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational' 

    AND eventid = 1149 

    AND (status = 'external_IP' OR status = 'unknown') 

Una vez pegado esto, seleccionarás las máquinas contra las que debe ejecutarse esta consulta. La consulta es específica de Windows; si se ejecuta en máquinas macOS o Linux no se obtendrán resultados, por lo que deseleccionarlas (en la opción Filtros -> Sistema operativo) es un buen primer paso. Más allá de eso, las necesidades de cada empresa son únicas. Sin embargo, hay razones de peso para ejecutar la consulta en todos los equipos Windows de tu red, incluso en los endpoints, por si alguno está incorrectamente expuesto a Internet. Por desgracia, nuestros investigadores de Respuesta a Incidentes se encuentran con esto mucho más a menudo de lo que cabría esperar.

Haz clic en Actualizar Dispositivos Seleccionados para confirmar tus selecciones y selecciona Ejecutar Consulta en la parte inferior derecha para ejecutarla. El sistema te pedirá que confirmes que deseas ejecutar esta consulta no probada: lo haces. La consulta comienza a ejecutarse; la velocidad a la que se devuelven los resultados depende de cuántos dispositivos se consulten y de sus conexiones de red. Cuando termine, la columna Estado te avisará de la finalización de la consulta (o, si algo ha ido mal, del fallo de la consulta). Desplázate hacia arriba; hay una sección llamada Resultados de la consulta que muestra los resultados. Si no aparece nada, ¡enhorabuena! No se han encontrado inicios de sesión RDP desde direcciones IP externas. Si, por el contrario, se muestran resultados…

Entender los resultados

Si tu consulta devuelve resultados, el primer campo a tener en cuenta en esos resultados es el nombre del endpoint. En el ejemplo que se muestra a continuación (tomado del banco de pruebas que montamos para hacer nuestro vídeo), dos máquinas informaron de que tienen conexiones RDP externas.

Al ampliar los resultados vemos la fecha y hora en que se produjo la conexión, el ID de evento devuelto por la consulta (con una breve descripción de lo que significa ese ID de evento), el nombre de usuario de la cuenta que se conectó y la dirección IP de origen desde la que se conectaron. Las direcciones no RFC 1918 demuestran que estas conexiones no procedían del espacio de direcciones privado de la red.

Cabe señalar que, como con cualquier consulta de este tipo, es necesario investigar más para descartar falsos positivos. Sin embargo, un “falso” positivo (una conexión externa peculiar que en realidad no era más que un administrador abriendo RDP en un servidor temporalmente) sigue mereciendo la pena comprobarlo. Como hemos señalado anteriormente en esta serie de artículos, los atacantes son impresionantemente rápidos para saltar a una conexión RDP abierta. Si el administrador pudo conectarse, son muchas las probabilidades de que un atacante también pudo encontrar el puerto abierto. Si fuéramos muy precavidos podríamos aislar el dispositivo y examinarlo más a fondo en busca de un posible compromiso.

Protocolo de escritorio remoto: la serie

Parte 1: protocolo de escritorio remoto: introducción (post, vídeo)

Parte 2: RDP expuesto (es peligroso) (post, vídeo)

Parte 3: consultas para la investigación (post, vídeo)

Parte 4: factor zona horaria RDP (post, vídeo)

Parte 5: ejecución de la consulta RDP externa (estás aquí, vídeo)

Parte 6: ejecución de la consulta de inicio de sesión 4624_4625 (post, vídeo)

Repositorio de consultas en GitHub: SophosRapidResponse/OSQuery

Repositorio de transcripciones: sophoslabs/video-transcripts

Lista de reproducción de YouTube: Protocolo de escritorio remoto: la serie