RDPDICT – RDPの攻撃

メソッドの説明

このメソッドは、リモートデスクトップサービス(TCP/3389)のユーザ名またはパスワードを推測する攻撃を検知するために使用されます。このメソッドでは、攻撃者と被害者の永続ツリーが作成されます。攻撃者/被害者のペアの制限(単一のIPアドレスからの攻撃20回またはAttackAttemptsオプションの値)を超えると、イベントがレポートされます。ツリーのデータはTimeWindowパラメータで定義された期間、保持されます。また、このメソッドは、分散型攻撃の検知にも使用できます。単一の攻撃者から単一の被害者への試行がPartOfAttackパラメータとAttackAttemptsパラメータの積として定義された数以上発生する必要があります。検知をさらに向上させるには、MinTargetsパラメータを使用して攻撃ターゲットの最小数を指定します。必要に応じて、標準のTCP/3389以外にRDPサービスが提供される例外的なポートのリストを作成することができます(ObscurePortsパラメータ)。Flowデータのソースが正常にTCPフラグ(デフォルトでFlowmonプローブが提供)を塗りつぶした場合、AnalyzeTCPFlagsパラメータを使用して、検知メソッドの出力をより正確にすることができます。

このメソッドを使用すると、実行中の攻撃を速やかに検知し、パスワードが攻撃者に推測される前に攻撃者をブロックできます。攻撃者のアクティビティに大きな遅れがあった場合(30分超、またはAttackHoleオプションの値)、単一のIPアドレスからの攻撃は複数の攻撃であると解釈されることがあります。

このメソッドは、以下のサブメソッドで構成されます。

• General: RDPサーバ上でパスワード類推攻撃(辞書攻撃またはブルートフォース攻撃をベースとする)をレポートします。

メソッド設定

このメソッドをすべてのIPアドレスに対して適用し、サーバに対する攻撃だけでなく、ネットワークからインターネットへの攻撃も監視することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。

メソッドパラメータ

• AttackAttempts: イベントを生成するために必要な、1人の攻撃者から行われたRDPサービスへのログイン試行の最小数。

• AttackHole: 最後にログインを試みてから、攻撃が終了としてマークされるまでの期間を秒単位で指定します。

• MinTargets: イベントを生成するために必要な攻撃ターゲットの最小数。

• ObscurePorts: 監視対象ネットワークでRDPサービスが提供される3389以外のポート番号のカンマ区切りリスト。

• PartOfAttack: 以前にレポートされた攻撃ターゲットが別の攻撃者によって攻撃された場合に、イベントを生成するために必要なAttackAttempts値の割合を指定します。

• TimeWindow: 各被害者のログイン試行の統計(攻撃が検知されるまで)が保存される期間を指定します。

• MaxBPP: フローを認証試行と見なすための、フロー内のパケットあたりのバイト数の最大値。このパラメータの値が0に設定されている場合、検知時にこのメトリックは使用されません。

• MaxPackets: このフローを認証試行と見なすための、フロー内のパケット数の最大値。このパラメータの値が0に設定されている場合、検知時にこのメトリックは使用されません。

• MaxDuration: このフローを認証試行と見なすための、フローの最長期間(秒)。このパラメータの値が0に設定されている場合、検知時にこのメトリックは使用されません。

• AnalyzeTCPFlags: Flowデータ内のTCPフラグの検査をアクティブ化し、検知アルゴリズムをより正確にします。

フィルタの割り当て

フィルタは、送信元または宛先IPアドレスの制限に使用されます。

結果の解釈

このメソッドの結果は比較的分かりやすくなっています。このメソッドでは、RDPサービスに対する辞書攻撃が検知されます。これは、サービスまたは(サービスへの認証を試行し続けているものの失敗する)不適切な設定のデバイスに対して不正アクセスしようとする攻撃者のアクティビティを示唆している可能性があります。