🔍 Cos’è un RDP Rogue?
- texservice13
- 8 apr
- Tempo di lettura: 4 min
Il termine RDP Rogue si riferisce a una minaccia informatica specifica legata all’abuso del protocollo Remote Desktop Protocol (RDP), comunemente usato per l’accesso remoto ai sistemi Windows. Vediamolo nel dettaglio:
Un RDP Rogue è una sessione RDP malevola che viene avviata o mantenuta attivamente da un attaccante, spesso in modo invisibile all’utente o all’amministratore del sistema. In pratica, un attaccante riesce ad accedere a una macchina tramite RDP e:
Mantiene l’accesso attivo, anche in modo nascosto.
Elude i controlli di sicurezza, come i software antivirus o EDR (Endpoint Detection and Response).
Evita il rilevamento, mascherando la presenza o usando account legittimi.
🧠 Come funziona un attacco RDP Rogue?
Compromissione iniziale: L’attaccante ottiene accesso RDP alla macchina target (tramite phishing, brute-force o vulnerabilità).
Accesso silente: Utilizza metodi per nascondere la propria sessione o interagire con il sistema senza che l’utente lo veda (es. sessione separata o in background).
Persistenza: Installa strumenti per mantenere l’accesso anche dopo reboot, spesso usando script PowerShell o backdoor.
Movimento laterale o escalation: Usa RDP per muoversi lateralmente nella rete o ottenere privilegi più alti.
Evasione dei controlli: Utilizza tecniche per sfuggire al monitoraggio di EDR e SIEM, come injection in processi legittimi o uso di tool firmati digitalmente.
⚠️ Perché è pericoloso?
È difficile da rilevare: le sessioni possono apparire legittime.
Spesso l’attacco è persistente e silenzioso.
L’attaccante ha un accesso completo all’ambiente Windows.
Può essere usato per deployare ransomware, esfiltrare dati o compromettere interi domini Active Directory.
🛡️ Contromisure consigliate
Disabilitare RDP se non necessario.
Usare MFA (autenticazione a più fattori).
Monitorare sessioni RDP attive e log di accesso (es. Event ID 4624, 4648, 4778, 4779).
Limitare l’accesso tramite firewall e VPN.
Usare strumenti EDR/EDP con rilevamento comportamentale.
Segmentare la rete per limitare movimenti laterali.
Di seguiito mosto una panoramica di Indicatori di Compromissione (IoC) legati a un attacco RDP Rogue, con particolare attenzione a log di Windows, artefatti di sistema, e comportamenti sospetti che possono essere rilevati in ambienti di monitoraggio (es. con un SIEM).
Event ID | Descrizione | Cosa cercare |
4624 | Logon riuscito | Tipo logon 10 (RemoteInteractive) da IP sospetto |
4625 | Fallimento accesso | Tentativi ripetuti da IP esterni (brute force) |
4648 | Login con credenziali esplicite | Uso di credenziali da parte di account non comuni |
4778 | Riconnessione sessione RDP | Sessioni RDP che si riattivano più volte |
4779 | Disconnessione sessione RDP | Sessioni che si disconnettono rapidamente dopo l'accesso |
7045 | Servizio installato | Backdoor o servizi persistenti installati via RDP |
1102 | Cancellazione dei log | L’attaccante pulisce tracce dopo l’accesso |
Tuttavia, un log da solo non ti dice tutto; hai bisogno di uno software che collega i puntini; cioè hai bisogno di uno SIEM (che sta per Security Information and Event Management), ovvero una piattaforma/software che raccoglie, analizza e correla i log e gli eventi di sicurezza da più fonti per rilevare minacce, incidenti e anomalie in tempo reale quasi.
Per esempio potresti utilizzare Splunk (di cui esiste una versione gratuita),che può dirti, ad esempio:
"Un utente ha fatto 20 login falliti da un IP russo, poi ha avuto successo e ha scaricato 4GB di dati nel cuore della notte."
perché un tipico script SPLUNK sul RDP rogue potrebbe fare due cose:
🎯 Analizzare i log di sicurezza di Windows per rilevare IoC legati a RDP Rogue (es. 4624 logon di tipo 10 da IP sospetti).
📧 Inviare un alert via e-mail se viene rilevato un comportamento sospetto.
Ho scritto in merito a Splunk, perché permette di creare delle automazioni che possono essere eseguite a tempo, come per esempio la seguente che identifica l'RDP Rogue; ed, eventualmente, mandare un'e-mail all'Amministratore di sistema.
index=wineventlog sourcetype=WinEventLog:Security
(EventCode=4624 Logon_Type=10)
| stats count by Account_Name, Workstation_Name, IpAddress, _time
| where IpAddress!="127.0.0.1" AND IpAddress!="::1"
| search NOT IpAddress="192.168.*" NOT IpAddress="10.*" NOT IpAddress="172.16.*"
| eval sospetto="⚠️ Connessione RDP da IP esterno o anomalo"
| table _time, Account_Name, Workstation_Name, IpAddress, sospetto
Inoltre, una versione gratuita di Splunk, ed è perfetta per testare e imparare a usarlo — anche per piccoli ambienti di sicurezza o laboratori personali.
🎁 Splunk Free Edition – Caratteristiche principali
Caratteristica | Dettaglio |
💾 Dati giornalieri | Fino a 500 MB di dati al giorno |
⌛ Durata | Illimitata (non è una trial) |
🖥️ Standalone | Solo istanza singola (no cluster, no distribuito) |
📉 Alert limitati | Niente alert pianificati via email (ma si possono fare ricerche manuali o usare workaround) |
🔒 No autenticazione avanzata | Utente singolo, nessuna gestione di ruoli complessi |
📦 Come si ottiene Splunk Free
Vai su:👉 https://www.splunk.com/en_us/download/splunk-enterprise.html
Scarica Splunk Enterprise e installalo (Windows, Linux, macOS).
Dopo 60 giorni di trial puoi scegliere di passare a "Splunk Free" con un semplice comando: splunk edit licenser-groups Free --accept-license
⚙️ Alternative per chi vuole email alert
Se ti serve l'invio di email automatico, puoi valutare queste opzioni:
🔄 1. Workaround (con script esterni)
Esegui una query Splunk da cron/job e invii email con PowerShell o sendmail.
☁️ 2. Splunk Cloud Trial (Free 15 giorni)
Full-featured, anche con SOAR e ML — ma solo per prove rapide.
🆓 3. Alternative gratuite a Splunk
SIEM | Caratteristiche |
Elastic SIEM (ELK) | Open-source, potente, integrabile con Beats e Logstash |
Wazuh | Fork di OSSEC con SIEM integrato |
Graylog | Logging e alerting efficace, open-source |
Security Onion | Suite pronta all’uso per NIDS+SIEM |
Comentários