黑客利用 Windows .RDP 文件进行恶意远程桌面连接

在针对欧洲政府和军事机构的复杂间谍活动中，被认为与俄罗斯国家行为者有关的黑客一直在利用 Windows远程桌面协议(RDP)中鲜为人知的功能来渗透系统。

谷歌威胁情报小组 (GTIG) 已确认这波新网络攻击是其所称 UNC5837 组织所为。

该活动于 2024 年 10 月开始观察，采用一种独特的方法，即发送带有 .rdp 文件附件的网络钓鱼电子邮件。这些文件一旦执行，就会从受害者的计算机启动到攻击者控制的服务器的 RDP 连接，而无需典型的交互式会话警告横幅。

GTIG 将这种方法描述为“Rogue RDP” ，它允许攻击者以合法应用程序检查为幌子访问受害者的文件系统、剪贴板数据，甚至系统变量。攻击者与乌克兰国家安全通信和信息安全局合作，发送了声称来自亚马逊和微软等知名组织的电子邮件。

资源重定向和 RemoteApps

这些电子邮件包含使用有效SSL 证书签名的 .rdp 文件，以绕过警告用户潜在风险的安全措施。

这些文件配置为将资源从受害者的机器映射到攻击者的服务器：一旦执行，.RDP 文件就会启用两个关键的攻击媒介：

1. 驱动器和剪贴板重定向：该配置授予攻击者对所有受害驱动器的读/写访问权限，从而暴露文件系统、环境变量和剪贴板数据（包括用户复制的密码）。虚拟机设置加剧了风险，因为主机和客户系统之间的剪贴板同步扩大了盗窃范围。
2. 欺骗性 RemoteApps：受害者无法获得完整的桌面访问权限，而是看到一个名为“AWS 安全存储连接稳定性测试”的窗口应用程序。此 RemoteApp 完全托管在攻击者服务器上，在 RDP 会话的加密通道内运行时伪装成本地工具。

值得注意的是，攻击者利用 Windows 环境变量（%USERPROFILE%、%COMPUTERNAME%）作为 RemoteApp 的命令行参数，从而无需部署恶意软件即可进行侦察。

这些功能的使用减少了攻击的足迹，使事件响应人员更难检测和分析漏洞。

GTIG 还强调了 PyRDP 等 RDP 代理工具的潜在用途，它可以自动执行文件泄露、剪贴板捕获或会话劫持等任务。

虽然缺乏将 PyRDP 与此特定活动联系起来的直接证据，但其功能与观察到的攻击媒介相符：

• 窃取用于向 RDP 服务器进行身份验证的凭据。
• 捕获用户的剪贴板内容，其中可能包括密码等敏感信息。
• 尽管不是直接在受害者的机器上执行命令，但在 RDP 服务器上执行命令。

防御措施：

由于本机日志记录有限，检测仍然很困难。关键指标包括：

• 注册表工件：攻击者 IP 和用户名 HKEY_USERS...Terminal Server ClientServers
• 临时文件：MSTSC 生成的 .tmp 文件 %APPDATA%LocalTemp
• 可疑进程：源自 mstsc.exe1 的文件写入

为了降低风险，Microsoft 建议：

• 对 RDP 连接强制实施网络级别身份验证 (NLA)
• 此次活动的发现凸显了组织加强防御的必要性：通过组策略阻止来自不受信任的发布者的 .RDP 文件

禁用驱动器重定向并限制剪贴板访问

• 组织应该禁用未签名的 .rdp 文件的执行，并且只允许来自受信任的发布者的连接。
• 增强对源自 RDP 会话的异常文件创建事件的日志记录和监控可以帮助检测此类入侵。
• 应该培训用户识别并安全处理可疑的电子邮件附件，特别是来自未知来源的 .rdp 文件。

随着 RDP 等技术的发展，网络犯罪分子的手段也在不断变化。在潜在攻击中部署 PyRDP 等工具凸显了一种日益增长的趋势，即攻击者利用现有系统功能进行隐秘、持久的访问，因此所有组织都必须不断更新安全实践。

来源：https://cybersecuritynews.com/hackers-exploiting-windows-rdp-files-for-rogue-remote-desktop-connections/