タイトル：リモートデスクトップ（RDP）での侵入テストのヒントと防御

0x00はじめに

この記事では、4つのシナリオでリモートデスクトップ浸透テスト手法について説明します。この攻撃方法により、RDPサービスをアクティブにする際に、攻撃者がターゲットシステムをさまざまな状況下で攻撃する方法と、管理者がどのような主要な防御を攻撃するかを取得しようとします。 「ターミナルサービスクライアント」とも呼ばれるリモートデスクトッププロトコル（RDP）は、Microsoftが開発した独自のプロトコルであり、ネットワーク接続を介して別のコンピューターにリモートログするためのグラフィカルインターフェイスをユーザーに提供します。 RDPサーバーはWindowsオペレーティングシステムに組み込まれています。デフォルトでは、サーバーはTCPポート3389に耳を傾けます。

0x01 RDPサービス攻撃

1.RDPブルートフォース攻撃

始めましょう！管理者がシステム内のリモートデスクトップサービスがローカルネットワーク接続を可能にしたと仮定します。

1.1 NMAPを使用してRDP攻撃者がNMAPを使用して、ポート3389が開かれているかどうかを確認できます。 RDPの浸透については、NMAPを使用してターゲットシステム（192.168.0.102）をスキャンして、Open RDPのポートを取得します。

NMAP -P 3389 192.168.0.102リモートデスクトップサービスが許可されている場合、NMAPは下の図に示すように、ポート3389として開くステータスを表示します。

1.2。 RDPへのブルートフォース攻撃RDPに接続するには、認証された接続としてログイン資格情報が常に必要です。有効なユーザー資格情報はユーザー名とパスワードを入力できますが、無効なユーザー（攻撃者）は正しいログイン資格情報を推測できないため、ブルートフォース攻撃を通じてログイン資格情報を取得する必要があります。

Hydraを使用して、RDPに対するブルートフォース攻撃を実証しています。 Hydra：複数のプロトコル攻撃をサポートする並列ログインクラッカーです。それは非常に高速で柔軟であり、新しいモジュールは簡単に追加できます。 Kali Linuxでターミナルを開き、次のコマンドを入力します。

Hydra -v -f -l /root/desktop/user.txt -p /root/desktop/dict.txt rdp：////192.168.0.102以下のスクリーンショットから、ユーザー名：Ignite and Password：123456は、brute -fute -fute -fute -fute -fute -futeを介してaightを介してaightを使用しています。リモートデスクトップサービスにログインする攻撃者。

2。 DOS攻撃のためにポート3389をスキャン

何度も、ホストがRDP攻撃に対して脆弱かどうかを判断するために、攻撃者はMS12-020チェックを使用して脆弱性をテストします。 Kali Linuxの下のMetasploitフレームワークでコマンド端子を開き、次のコマンドを入力して脆弱性をスキャンします。

補助/スキャナー/RDP/MS12_020_CHECKMSF AUXILYARY（MS12_020_Check）Set Rhosts 192.168.0.102MSF Auxiliary（MS12_020_Check）Set Rport 3389msf Auxiliary（MS12_020_Check）exploit from his his from scrienこれで、Googleを使用して、攻撃の脆弱性のPOCを見つけることができます。

攻撃がターゲットポート3389がMS12-020攻撃に対して脆弱であることがわかると、MS12-020_MaxChannelidsを使用して攻撃が試みられます。これにより、ターゲットシステムに対するDOS攻撃が発生します。

次に、DOS攻撃の次のコマンドを入力します。これにより、ターゲットシステムがブルースクリーンになります。

補助/DOS/Windows/RDP/MS12_020_MAXCHANNELIDSMSMSMSMSF AUXILIARY（MS12_020_MAXCHANNELIDS）SET RHOST 192.168.0.102MSF補助（MS12_020_MAXCHANNELIDS）セットRHOST 3389MSF補助（MS12_020202020202020202020202020202020202020202020202020202020202エクスプロイト

次の図から、目標は、いくつかの問題のためにシステムがシャットダウンしていることであることがわかります。

DOS攻撃執行者は、多くの場合、銀行やクレジットカードの支払いゲートウェイなどのハイエンドWebサーバーでホストされているサイトまたはサービスをターゲットにし、ターゲットユーザーがインターネットに接続されたホストサービスを一時的または無期限に中断することにより、マシンやネットワークリソースを使用できません。

3.被害者PCのEnable RDP

攻撃者がRDPサービスを有効にしない被害者システムを攻撃した場合、攻撃者はRapid 7が構築した侵入後モジュールを使用してRDPサービスを有効にすることができます。

これを行うには、ターゲットシステムにリバウンドシェルが必要です。次の図から、ターゲットシステムのリバウンドシェルが取得されていることがわかります。

ここでは、MeterPreterのセッション1を取得し、バイパスのセッション2から管理権限を取得します。

次に、次のコマンドを入力して、浸透後リバウンドシェルを生成してRDPサービスを有効にします

post/windows/manage_rdpmsf post（enable_rdp）sessionsmsf post（enable_rdp）Exploit を使用します

このモジュールは、適切な権限を持つ「粘着性キー」攻撃をセッションに適用できます。この攻撃は、UIレベルの相互作用を使用して、RDPログイン画面またはUAC確認ダイアログでシステムシェルを取得する方法を提供します。

Post/Windows/manage/sticky_keysmsf post（sticky_keys）セッション2msf post（sticky_keys）Exploit を使用します

次のコマンドを使用して、リモートデスクトップに接続します。

rdesktop 192.168.0.102

ログイン資格情報の提出が必要になりますが、わからないので、下の図に示すように、シフトキーを5回連続して押してRDPのコマンド端子を取得できるように、上記のスティックキー攻撃を起動する必要があります。

4。 RDPを有効にする別の方法

被害者ホストシステムのメータープレターセッションを取得した後、RDPサービスのコマンドと選択した設定資格情報を有効にします。

MeterPreter Run GetGui-E-U RAAZ-P 1234次の図から、「リモートデスクトップユーザー」と「管理者」にアクセスするために、ユーザー名RAAZとパスワード1234が追加されていることがわかります。これで、作成されたユーザーを使用して、次のようにコマンドでログインできます。RDESKTOP192.168.0.102

ログインするには、ユーザー名raazとパスワード1234を入力します

これで、システムにリモートでログインしました。

0x02 RDP攻撃防御

1。セキュリティポリシーを追加して、ブルートフォースを防止します

管理者は、アカウントロックポリシーを使用して、ブルートフォース攻撃からネットワークを保護できます。セキュリティセットアカウントポリシーの下で次のポリシーを構成します。アカウントロック期間：管理者によって自動的にロック解除またはリセットされるまで、ロックされたアカウント保持期間を定義するために使用されるポリシー。ユーザーがアカウントロックのしきい値で設定されたログイン試行を超えると、アカウント指定された時間をロックします。

アカウントロックのしきい値：失敗したログイン試行の数を定義するポリシーで、アカウントロック期間のために指定された期間にアカウントをロックします。アカウントに最大数の試行をログインすることができます。

ロックされたアカウントロックカウンター：ログインの試行が失敗した後に合格しなければならない期間を定義するポリシー。リセット時間は、アカウントロック時間以下でなければなりません。

次の例の設定：アカウントロック時間：30分

アカウントロックのしきい値：2無効なログイン試行

ロックされたアカウントロック計算機：30分後

試行回数がアカウントロックのしきい値よりも大きい場合、攻撃者がロックされる可能性があります。

ポート3389でのブルートフォース攻撃により、アカウントロック戦略を再度テストします。

Hydra -v -f -l Ignite -p/root/desktop/dict.txt rdp：//192.168.0.0.102攻撃者がユーザー名とパスワードを取得すると、間違いなくログインしますが、見ることができるように、パスワードをクラックするには2回以上かかります。

リモートデスクトップにログインして確認しましょう。

コマンド端子を開き、「rdesktop 192.168.0.102」を入力します。ターゲット画面を取得したら、爆破されたユーザー名とパスワードを入力します。以下のスクリーンショットから、上記のユーザー名とパスワードを入力したことがわかります: 123456

攻撃者が資格情報を送信すると、次の図に示すように、現在のアカウントがロックされており、ログインできないというメッセージが表示されます。ユーザーのアカウントに30分間ロックされるため、管理者は誰かがリモートデスクトップに違法にアクセスしようとしていることを知っています。このようにして、私たちはブルートフォース攻撃から防御し、不正アクセスを防ぐことができます。

2。ポート変更

システムセキュリティを改善するために別のポートでポート3389を転送できますが、レジストリエディターを介してウィンドウオペレーティングシステムの次の場所を閲覧できます。

hkey_local_machine \ system \ currentControlset \ control \ターミナルサーバー\ winstations \ rdp-tcp次の図から、右パネルでポート番号が選択されていることがわかります。

ポートを3389から特定のポート番号に変更すると、32ビット値を編集できるDWORDを編集するウィンドウが表示されます。デフォルトでは、3389の16進価値であるD3Dが表示されます。3389値を選択した別の値（3314など）に置き換え、1ヘクサデシマルを選択してカーディナリティとして3314をCF2に変換します。

次の図から、ポート3314が開いていることがわかります。

3。システム自身のファイアウォールを介してRDPを保護します

高度な設定を備えたファイアウォールのパネルを開き、その中にリモートデスクトップ（TCP-IN）構成に移動して、ファイアウォールの設定に変更を加えることでセキュリティフィルターを追加するように設定します。

特定のIPからトラフィックを許可した後、ウィンドウを開いてプロパティを変更し、[範囲]オプションをクリックします。ここでは、ローカルおよびリモートIPアドレスの接続タイプの2つのパネルを取得します。

リモートIPアドレスで、特定のIPアドレスの2番目のオプションを選択し、次の図に示すように、リモートデスクトップサービスへの接続を許可するIPを入力します。

他のIPSからのすべてのトラフィックをブロックし、ネットワークセキュリティを改善して、あらゆる種類の攻撃から保護します。