https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/rdp%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%B8%E3%81%AEbruteforce%E6%94%BB%E6%92%83%E3%81%AE%E6%A4%9C%E7%9F%A5%E3%81%8A%E3%82%88%E3%81%B3%E9%98%B2%E5%BE%A1%E3%81%AE%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/521125 <DIV class="lia-message-template-content-zone"> <P>　インターネットからのリモートアクセス環境において、VPN接続後にRDPを利用して画面転送にて内部アクセスを許可させる方法が一般的です。この方式により外部からVPN経由でも直接内部ネットワークへはアクセスできなくすることで内部ネットワークへの不正アクセスやマルウェア攻撃を困難にすることが可能です。しかし、昨今のランサムウェアの攻撃でRDPサーバーへのブルートフォース攻撃も増加しています。VPN接続後のRDP接続であり、比較的安易なパスワードの利用や、パスワードを使いまわしてしまうことで、ブルートフォース攻撃でRDP接続に成功してしまう土壌があります。一旦、RDP接続に成功されると、その後容易に内部ネットワークへの不正アクセスができてしまいます。従いまして、RDPのブルートフォース攻撃の検知及び防御が重要です。</P> <P><span class="lia-inline-image-display-wrapper lia-image-align-center" image-alt="ms-rdpによる不正アクセス.png" style="width: 999px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/45308i772E8D626391DE10/image-size/large/is-moderation-mode/true?v=v2&amp;px=999" role="button" title="ms-rdpによる不正アクセス.png" alt="ms-rdpによる不正アクセス.png" /></span></P> <P>&nbsp;<SPAN>　</SPAN></P> <P>　以下のサイトにナレッジとして紹介されております通り、<SPAN>現在のMS-RDPではデフォルトでTLSによる暗号化通信であり、PAN-OSの脆弱性防御の標準シグネチャで提供される</SPAN><SPAN>MS-</SPAN><SPAN>RDP Brute Force Attempt (Threat ID: 40021)のシグネチャではMS-RDPのブルートフォース攻撃の検知ができません。</SPAN></P> <P><A href="https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPRUCA4" target="_self">https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPRUCA4</A>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;　MS-RDPのブルートフォース攻撃の厳密な検知を行うためには、本質的には復号を行い、通信内容を検査する必要がありますが、MS-RDPのTLSは一般的なSSLとは接続時のネゴシエーションが異なるため現時点ではSSL復号できません。従いまして、上記のサイトで紹介されておりますカスタムシグネチャを追加することで、MS-RDP接続時のネゴシエーションを検知し、一定時間にしきい値以上のMS-RDPセッションが確立されていることで、ブルートフォース攻撃とみなす方法が現実的な検知方法となります。この設定および検知時のログなどについて解説します。</P> <P>&nbsp;</P> <P>大量のRDP接続を検知するカスタムシグネチャの設定手順は、下記となります。</P> <OL> <LI>[OBJECTS]→[カスタムオブジェクト]→[脆弱性]をクリック</LI> <LI>[追加]をクリック</LI> <LI>カスタム脆弱性シグネチャ設定ページの[設定]タブにて、脅威ID(例:41001)、名前(例:msrdp negotiation request detection)、重大度(例:informational)、方向(client2server)、デフォルトアクション(例:アラート)、影響を受けるシステム(Server)を指定</LI> <LI>[シグネチャ]タブにて、[追加]をクリック。シグネチャ名(例:msrdp connection)を入力後、[追加 or Condition]をクリック。[新規AND条件 - OR条件]にて、演算子を"等しい"、コンテキストを "t_120-req-msrdp-negotiation-request"、値を1を指定し、[OK]をクリック</LI> <LI>[Commit]をクリック</LI> <LI>再度2.と同様に新たなカスタムシグネチャを追加するため[追加]をクリック</LI> <LI>カスタム脆弱性シグネチャ設定ページの[設定]タブにて、脅威ID(例:41002)、名前(例:MS-RDP connection brute force detection)、重大度(例:critical)、方向(client2server)、デフォルトアクション(検知のみの場合アラート、防御する場合には"両方をリセット"を選択)、影響を受けるシステム(Server)を指定</LI> <LI>[シグネチャ]タブにて、シグネチャとして[組み合わせ]を選択。"追加 And Condition"をクリック。[新規AND条件- OR 条件]にてOR条件は"Or Condition 1"、脅威ID（Step.3で指定した脅威ID 例: 41001)を指定し、[OK]をクリック<BR />[時間属性]をクリックし、ビット数、単位時間の秒数、および集約基準を指定します。<BR /><FONT color="#0000FF">【重要】このビット数、単位時間の秒数については、人間がパスワード入力ミスを単位時間以内に何回まで許容するか検討し適切な数値の設定をお願いします。</FONT><BR /><span class="lia-inline-image-display-wrapper lia-image-align-center" image-alt="ms-rdp-custom-sig-time-setting.png" style="width: 493px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/45910iEA4B9000169147B5/image-dimensions/493x280/is-moderation-mode/true?v=v2" width="493" height="280" role="button" title="ms-rdp-custom-sig-time-setting.png" alt="ms-rdp-custom-sig-time-setting.png" /></span></LI> <LI>[OK]を複数回クリックし、[Commit]をクリック</LI> </OL> <P>&nbsp;</P> <P>上記手順でカスタムシグネチャが設定できますので、脆弱性防御プロファイルをms-rdpのトラフィックを許可するセキュリティポリシールールに適応してください。</P> <P>&nbsp;</P> <P>　上記の設定を行ったとき、ms-rdpの接続時およびしきい値回数の認証失敗時の脅威ログは以下となります。</P> <P><span class="lia-inline-image-display-wrapper lia-image-align-center" image-alt="ms-rdp-detect-log.png" style="width: 999px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/45909i1683E5DADEA6A177/image-size/large/is-moderation-mode/true?v=v2&amp;px=999" role="button" title="ms-rdp-detect-log.png" alt="ms-rdp-detect-log.png" /></span></P> <P>&nbsp;</P> <P>参考になれば幸いです。よろしくお願いいたします。</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> </DIV> Tue, 06 Dec 2022 04:10:26 GMT khayakawa 2022-12-06T04:10:26Z https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/rdp%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%B8%E3%81%AEbruteforce%E6%94%BB%E6%92%83%E3%81%AE%E6%A4%9C%E7%9F%A5%E3%81%8A%E3%82%88%E3%81%B3%E9%98%B2%E5%BE%A1%E3%81%AE%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/521125 <DIV class="lia-message-template-content-zone"> <P>　インターネットからのリモートアクセス環境において、VPN接続後にRDPを利用して画面転送にて内部アクセスを許可させる方法が一般的です。この方式により外部からVPN経由でも直接内部ネットワークへはアクセスできなくすることで内部ネットワークへの不正アクセスやマルウェア攻撃を困難にすることが可能です。しかし、昨今のランサムウェアの攻撃でRDPサーバーへのブルートフォース攻撃も増加しています。VPN接続後のRDP接続であり、比較的安易なパスワードの利用や、パスワードを使いまわしてしまうことで、ブルートフォース攻撃でRDP接続に成功してしまう土壌があります。一旦、RDP接続に成功されると、その後容易に内部ネットワークへの不正アクセスができてしまいます。従いまして、RDPのブルートフォース攻撃の検知及び防御が重要です。</P> <P><span class="lia-inline-image-display-wrapper lia-image-align-center" image-alt="ms-rdpによる不正アクセス.png" style="width: 999px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/45308i772E8D626391DE10/image-size/large/is-moderation-mode/true?v=v2&amp;px=999" role="button" title="ms-rdpによる不正アクセス.png" alt="ms-rdpによる不正アクセス.png" /></span></P> <P>&nbsp;<SPAN>　</SPAN></P> <P>　以下のサイトにナレッジとして紹介されております通り、<SPAN>現在のMS-RDPではデフォルトでTLSによる暗号化通信であり、PAN-OSの脆弱性防御の標準シグネチャで提供される</SPAN><SPAN>MS-</SPAN><SPAN>RDP Brute Force Attempt (Threat ID: 40021)のシグネチャではMS-RDPのブルートフォース攻撃の検知ができません。</SPAN></P> <P><A href="https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPRUCA4" target="_self">https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPRUCA4</A>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;　MS-RDPのブルートフォース攻撃の厳密な検知を行うためには、本質的には復号を行い、通信内容を検査する必要がありますが、MS-RDPのTLSは一般的なSSLとは接続時のネゴシエーションが異なるため現時点ではSSL復号できません。従いまして、上記のサイトで紹介されておりますカスタムシグネチャを追加することで、MS-RDP接続時のネゴシエーションを検知し、一定時間にしきい値以上のMS-RDPセッションが確立されていることで、ブルートフォース攻撃とみなす方法が現実的な検知方法となります。この設定および検知時のログなどについて解説します。</P> <P>&nbsp;</P> <P>大量のRDP接続を検知するカスタムシグネチャの設定手順は、下記となります。</P> <OL> <LI>[OBJECTS]→[カスタムオブジェクト]→[脆弱性]をクリック</LI> <LI>[追加]をクリック</LI> <LI>カスタム脆弱性シグネチャ設定ページの[設定]タブにて、脅威ID(例:41001)、名前(例:msrdp negotiation request detection)、重大度(例:informational)、方向(client2server)、デフォルトアクション(例:アラート)、影響を受けるシステム(Server)を指定</LI> <LI>[シグネチャ]タブにて、[追加]をクリック。シグネチャ名(例:msrdp connection)を入力後、[追加 or Condition]をクリック。[新規AND条件 - OR条件]にて、演算子を"等しい"、コンテキストを "t_120-req-msrdp-negotiation-request"、値を1を指定し、[OK]をクリック</LI> <LI>[Commit]をクリック</LI> <LI>再度2.と同様に新たなカスタムシグネチャを追加するため[追加]をクリック</LI> <LI>カスタム脆弱性シグネチャ設定ページの[設定]タブにて、脅威ID(例:41002)、名前(例:MS-RDP connection brute force detection)、重大度(例:critical)、方向(client2server)、デフォルトアクション(検知のみの場合アラート、防御する場合には"両方をリセット"を選択)、影響を受けるシステム(Server)を指定</LI> <LI>[シグネチャ]タブにて、シグネチャとして[組み合わせ]を選択。"追加 And Condition"をクリック。[新規AND条件- OR 条件]にてOR条件は"Or Condition 1"、脅威ID（Step.3で指定した脅威ID 例: 41001)を指定し、[OK]をクリック<BR />[時間属性]をクリックし、ビット数、単位時間の秒数、および集約基準を指定します。<BR /><FONT color="#0000FF">【重要】このビット数、単位時間の秒数については、人間がパスワード入力ミスを単位時間以内に何回まで許容するか検討し適切な数値の設定をお願いします。</FONT><BR /><span class="lia-inline-image-display-wrapper lia-image-align-center" image-alt="ms-rdp-custom-sig-time-setting.png" style="width: 493px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/45910iEA4B9000169147B5/image-dimensions/493x280/is-moderation-mode/true?v=v2" width="493" height="280" role="button" title="ms-rdp-custom-sig-time-setting.png" alt="ms-rdp-custom-sig-time-setting.png" /></span></LI> <LI>[OK]を複数回クリックし、[Commit]をクリック</LI> </OL> <P>&nbsp;</P> <P>上記手順でカスタムシグネチャが設定できますので、脆弱性防御プロファイルをms-rdpのトラフィックを許可するセキュリティポリシールールに適応してください。</P> <P>&nbsp;</P> <P>　上記の設定を行ったとき、ms-rdpの接続時およびしきい値回数の認証失敗時の脅威ログは以下となります。</P> <P><span class="lia-inline-image-display-wrapper lia-image-align-center" image-alt="ms-rdp-detect-log.png" style="width: 999px;"><img src="https://live.paloaltonetworks.com/t5/image/serverpage/image-id/45909i1683E5DADEA6A177/image-size/large/is-moderation-mode/true?v=v2&amp;px=999" role="button" title="ms-rdp-detect-log.png" alt="ms-rdp-detect-log.png" /></span></P> <P>&nbsp;</P> <P>参考になれば幸いです。よろしくお願いいたします。</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> <P>&nbsp;</P> </DIV> Tue, 06 Dec 2022 04:10:26 GMT https://live.paloaltonetworks.com/t5/%E5%85%AC%E5%85%B1%E5%B8%82%E5%A0%B4%E5%90%91%E3%81%91%E6%83%85%E5%A0%B1/rdp%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%B8%E3%81%AEbruteforce%E6%94%BB%E6%92%83%E3%81%AE%E6%A4%9C%E7%9F%A5%E3%81%8A%E3%82%88%E3%81%B3%E9%98%B2%E5%BE%A1%E3%81%AE%E6%96%B9%E6%B3%95%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ta-p/521125 khayakawa 2022-12-06T04:10:26Z