Remote Desktop Protocol: Remote Desktop Protocol (T1021.001)

L'attivazione di RDP su un sistema compromesso richiede privilegi amministrativi. Il primo passo consiste nell'abilitare il servizio attraverso il registro:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Successivamente, è necessario configurare il firewall per permettere le connessioni RDP:

netsh advfirewall firewall set rule group="remote desktop" new enable=Yes

Per aggiungere un utente al gruppo Remote Desktop Users:

net localgroup "Remote Desktop Users" compromiseduser /add

I tool come Cobalt Strike permettono di tunnellare sessioni RDP attraverso canali C2 esistenti, evitando l'esposizione diretta. NATBypass, utilizzato da APT41, espone porte RDP locali su Internet aggirando le restrizioni NAT.

La tecnica di APT39 con rdpwinst permette la gestione di sessioni multiple simultanee. Per Linux, tool come Plink (usato da Agrius) creano tunnel SSH per incapsulare il traffico RDP:

plink.exe -ssh -L 3389:target-host:3389 user@jump-host

Medusa Group ha dimostrato l'uso diretto di mstsc.exe per connessioni rapide:

mstsc.exe /v:192.168.1.100

L'automazione attraverso script PowerShell velocizza il processo di lateral movement, permettendo connessioni programmatiche a multipli host in sequenza.

La detection strategy DET0327 propone un approccio multi-evento correlando l'EventCode 4624 (Logon Type 10) con attività sospette post-login. Eventi critici da monitorare includono:

• Event 4624 con Logon Type 10 per identificare nuove sessioni RDP
• Event 4778/4779 per riconnessioni a sessioni esistenti
• Sysmon Event ID 3 per connessioni di rete sulla porta 3389

La correlazione temporale è fondamentale: processi come cmd.exe, powershell.exe o certutil.exe lanciati entro 5 minuti da un login RDP devono generare alert ad alta priorità.

Pattern comportamentali anomali includono:

• RDP da account di servizio
• Connessioni RDP seguite da accessi a share amministrative
• Login RDP fuori orario lavorativo
• First-time access tra specifiche coppie di host

La gestione dei falsi positivi richiede la creazione di baseline per amministratori legittimi. Utilizzare attributi come source IP, orari tipici e destinazioni comuni per ridurre il rumore.

Per ambienti con forte utilizzo amministrativo di RDP, implementare una logica di "peer analysis": confrontare il comportamento di un utente con quello dei suoi pari per identificare outlier.

Gli artefatti RDP in Windows si concentrano in diverse location chiave. Il registro contiene tracce persistenti sotto:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers

Qui troverete l'elenco degli host a cui l'utente si è connesso. La chiave UsernameHint rivela spesso credenziali utilizzate.

I file .rdp salvati contengono configurazioni complete delle sessioni, inclusi username e risoluzioni schermo. La cache bitmap in:

%USERPROFILE%\AppData\Local\Microsoft\Terminal Server Client\Cache

Può contenere frammenti di schermate che rivelano attività dell'attaccante.

Il registro eventi Security contiene la sequenza completa: Event 4624 (login), 4634 (logout), mentre TerminalServices-LocalSessionManager registra dettagli granulari delle sessioni.

Cobalt Group e Wizard Spider hanno dimostrato pattern tipici: RDP seguito immediatamente da esecuzione di ransomware. Durante C0015, gli attori hanno mantenuto sessioni RDP attive per 5 giorni consecutivi.

La ricostruzione temporale deve correlare:

• Timestamp di connessione RDP
• Creazione/modifica file durante la sessione
• Lateral movement verso altri sistemi
• Eventuale deployment di persistence mechanisms

ShimCache e AmCache possono rivelare esecuzioni di tool durante sessioni RDP anche quando i log sono stati cancellati.

APT29 (SolarWinds) ha dimostrato sofisticazione nell'uso di RDP, tunnellando connessioni da sistemi pubblici verso server interni. Lazarus Group integra RDP nel malware SierraCharlie per propagazione automatica.

Pattern geografici emergono chiaramente: gruppi iraniani come APT39, Magic Hound e Agrius mostrano preferenza per tunneling RDP attraverso web shell. APT28 nella campagna Nearest Neighbor ha innovato usando reti Wi-Fi adiacenti per raggiungere sistemi dual-homed.

FIN6, FIN7 e FIN8 utilizzano RDP per movimento rapido pre-ransomware, tipicamente entro 48-72 ore dall'accesso iniziale. Scattered Spider combina RDP con social engineering per mantenere persistenza.

Tool overlap significativi includono:

• rdpwinst (APT39)
• Plink (Agrius, comune in gruppi iraniani)
• NATBypass (APT41, specifico per bypass firewall)

Le campagne HomeLand Justice e C0018 mostrano evoluzione tattica: apertura di porte RDP non standard (28035, 32467, 41578) per evitare detection. Prevedibile vedere maggior uso di RDP over HTTPS e integrazione con servizi cloud legittime per C2.

Tecnica documentata nel framework MITRE ATT&CK come T1021.001. Le campagne HomeLand Justice, SolarWinds Compromise e APT28 Nearest Neighbor forniscono case study dettagliati. Tool specifici come NATBypass, rdpwinst e tecniche di tunneling sono documentati nei report di incident response dei rispettivi APT.