5 ‐ Forense de RDP - tusaa/Seguridad_RDP GitHub Wiki

Forense de RDP

Eventos en el visor de eventos de Windows

En el visor de eventos de Windows > Seguridad hay dos eventos relevantes en el uso de RDP;

EVENT 4624: An account was successfully logged on

Se registra este evento cuando un usuario inicia sesión con éxito en un sistema. Con este ID se registran muchos inicios de sesión de distinto tipo, que se diferencian por el dato LOGON TYPE que se incluye en el mismo evento.

Los tipos de inicios de sesión son los siguientes;

image Imagen: Valores posibles de LOGON TYPE para los eventos 4624. Fuente; https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

Como se puede deducir de la tabla anterior, los inicios de sesión a través de escritorio remoto tienen de valor Logon Type=10

image Imagen; Ejemplo de un evento 4624 de inicio de sesión de escritorio remoto. Fuente; https://www.sans.org/blog/protecting-privileged-domain-accounts-restricted-admin-and-protected-users/

Más información; https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624 https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4624

EVENT 4625: An account failed to log on (indicador de ataques de fuerza bruta)

Similar al anterior, se registra este evento cuando un inicio de sesión ha fallado. Este evento es la manera más habitual de detectar ataques de fuerza bruta, revisando que aparecen una importante cantidad de eventos 4625 en un corto periodo de tiempo.

EVENT 140: FAILED AUTENTICATION EVENTS

Una cuestión importante y que complica el análisis forense es que en los eventos 4625 no se registra la IP origen para las cuentas existentes.

image Imagen; Captura de pantalla de un evento 4625 que no contiene información de la IP de origen. Fuente; https://theclemvp.medium.com/detect-rdp-brute-force-attacks-on-windows-server-2012-with-azure-sentinel-part-1-5006df99a35f

Afortunadamente es posible encontrar la IP de origen en otros eventos, como el evento 140 del visor de eventos en el canal Aplications and Services Logs > Microsoft > Windows > RemoteDesktopServices-RdpCoreTS > Operational

image Imagen; evento 140 de autenticación sin éxito con el dato de la IP de origen de la petición. Fuente; https://theclemvp.medium.com/detect-rdp-brute-force-attacks-on-windows-server-2012-with-azure-sentinel-part-1-5006df99a35f

Más información; https://theclemvp.medium.com/detect-rdp-brute-force-attacks-on-windows-server-2012-with-azure-sentinel-part-1-5006df99a35f

Otros eventos

Los eventos más conocidos son el 4624 y el 4625, pero no siempre podremos disponer de ellos. Por ejemplo, si en un servidor la política de auditoría aplicada no registra estos eventos, o si el atacante ha tenido la precaución de borrarlos para dificultad la tarea forense. En estos casos conviene conocer que hay más eventos que pueden dar información sobre la actividad RDP. Se explican aquí; https://frsecure.com/blog/rdp-connection-event-logs/

También en el curso de Let's Defend "Hunting for RDP Access" se habla del papel de los eventos 1149 y 261 para la detección de ataques de fuerza bruta. Fuente; https://app.letsdefend.io/training/lesson_detail/hunting-for-rdp-access