# T1021.001 - Remote Desktop Protocol ## Técnica Pai Esta é uma sub-técnica de [[t1021-remote-services|T1021 - T1021 - Remote Services]]. ## Descrição **Remote Desktop Protocol (RDP)** - T1021.001 - é a exploração do protocolo nativo do Windows para sessões gráficas interativas remotas como vetor de movimentação lateral. Adversários utilizam [[t1078-valid-accounts|contas válidas]] para autenticar via RDP (porta 3389/TCP) em sistemas onde o serviço está habilitado, obtendo acesso interativo completo ao desktop do host comprometido. A legitimidade inerente do protocolo - amplamente utilizado por equipes de TI e suporte remoto - torna a detecção especialmente desafiadora em ambientes sem baseline comportamental. O RDP é frequentemente usado em conjunto com outras técnicas: adversários combinam [[t1110-brute-force|força bruta]] contra credenciais expostas, reutilização de senhas obtidas via [[t1003-os-credential-dumping|credential dumping]], ou pivotamento através de hosts já comprometidos para alcançar sistemas internos. Grupos como [[g0094-kimsuky|Kimsuky]] e [[g0059-magic-hound|Magic Hound]] são conhecidos por manter persistência de longa duração via RDP em alvos de espionagem, aproveitando-se de contas de serviço e administradores locais com senhas fracas. A técnica é persistente na paisagem de ameaças global justamente porque o RDP é difícil de desabilitar completamente em ambientes corporativos dependentes de suporte remoto. **Contexto Brasil/LATAM:** O RDP exposto à internet é um vetor primário de comprometimento inicial documentado pelo [[sources|CERT.br]] e por investigações de ransomware no Brasil. Levantamentos do setor indicam que milhares de instâncias RDP brasileiras ficam expostas diretamente na internet, majoritariamente em PMEs e órgãos municipais sem equipes dedicadas de segurança. Grupos como [[g1032-inc-ransom|INC Ransom]] e [[g1043-blackbyte|BlackByte]] documentadamente utilizam acesso RDP - obtido por força bruta ou compra de credenciais em fóruns - como ponto de entrada em campanhas de ransomware contra hospitais, prefeituras e empresas de médio porte no Brasil. O padrão típico é: RDP exposto → brute force ou credential stuffing → movimentação lateral interna → deploy de ransomware. ## Attack Flow ```mermaid graph TB A["T1190<br/>Exploit Public App<br/>ou RDP Exposto"] --> B["T1110<br/>Brute Force<br/>(Credenciais RDP)"] B --> C["T1078<br/>Valid Accounts<br/>(Acesso Inicial)"] C --> D["T1021.001<br/>RDP Lateral Movement<br/>(Pivotamento Interno)"]:::highlight D --> E["T1546.008<br/>Accessibility Features<br/>(Persistência)"] D --> F["T1486<br/>Data Encrypted<br/>(Ransomware)"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário identifica sistemas com RDP habilitado (porta 3389 aberta) via varredura de rede interna ou através de informações coletadas do host já comprometido (ARP cache, Active Directory). Credenciais são obtidas por: (a) força bruta com listas de senhas comuns, (b) reutilização de hashes coletados via Mimikatz/[[t1003-os-credential-dumping|T1003]], (c) pass-the-hash com ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], ou (d) compra de acessos RDP em marketplaces criminosos - modalidade crescente no Brasil conforme documentado em relatórios de inteligência de 2024-2025. **2. Execução** Com credenciais válidas, a conexão é estabelecida via cliente RDP nativo (`mstsc.exe`) ou ferramentas de terceiros. Em movimentações laterais automatizadas, grupos utilizam o módulo `jump rdp` do Cobalt Strike ou ferramentas como [[s0262-quasarrat|QuasarRAT]] para gerenciar múltiplas sessões simultâneas. O adversário pode explorar a funcionalidade de [[t1546-008-accessibility-features|Accessibility Features]] (ex: substituir `sethc.exe` por `cmd.exe`) para criar backdoors acessíveis mesmo sem credenciais válidas via tela de login RDP - técnica clássica documentada em incidentes de APT. **3. Pós-execução** Após acesso interativo, o adversário realiza reconhecimento local (ipconfig, net user, tasklist), transfere ferramentas adicionais via área de transferência RDP ou mapeamento de drives, e pode instalar persistência via scheduled tasks ou serviços. Em ataques de ransomware, o RDP é utilizado para executar o encryptor manualmente ou via script batch, permitindo ao operador monitorar o progresso em tempo real. Sessões RDP disconnected (não encerradas) são frequentemente exploradas por adversários para retomar acesso sem re-autenticação. ## Detecção **Event IDs relevantes:** | Event ID | Fonte | Descrição | |----------|-------|-----------| | `4624` | Security | Logon bem-sucedido - filtrar `Logon Type 10` (RemoteInteractive) para identificar sessões RDP | | `4625` | Security | Falha de logon - múltiplas falhas seguidas de sucesso indica brute force bem-sucedido | | `4778` | Security | Sessão de Remote Desktop reconectada - adversários frequentemente reconectam sessões desconectadas | | `4779` | Security | Sessão de Remote Desktop desconectada - monitorar padrões de reconexão fora do horário comercial | | `1149` | Terminal Services Remote Connection Manager | Autenticação RDP bem-sucedida - registra IP de origem antes do logon completo | | `21` | Microsoft-Windows-TerminalServices-LocalSessionManager | Logon bem-sucedido na sessão RDP (Remote Session Logon) | | `25` | Microsoft-Windows-TerminalServices-LocalSessionManager | Reconexão de sessão RDP existente | **Sigma Rule - Detecção de Brute Force RDP seguido de Sucesso:** ```yaml title: RDP Brute Force Success Detection id: c1d3e5f7-a1b3-5c7d-9e1f-a3b5c7d9f1a3 status: experimental description: Detecta múltiplas falhas de logon RDP seguidas de logon bem-sucedido - padrão típico de brute force author: RunkIntel daté: 2026-03-24 logsource: product: windows service: security detection: selection_failure: EventID: 4625 LogonType: 10 selection_success: EventID: 4624 LogonType: 10 timeframe: 5m condition: selection_failure | count() > 5 | then selection_success falsepositives: - Usuário esqueceu senha e tentou múltiplas vezes level: high tags: - attack.lateral_movement - attack.credential_access - attack.t1021.001 - attack.t1110 ``` **Sigma Rule - RDP Lateral Movement (workstation para workstation):** ```yaml title: RDP Lateral Movement Between Workstations id: d2e4f6a8-b2c4-6d8e-0f2a-b4c6d8f0a2b4 status: experimental description: Detecta conexões RDP originadas de workstations para outras workstations - padrão anômalo de movimentação lateral author: RunkIntel daté: 2026-03-24 logsource: product: windows service: security detection: selection: EventID: 4624 LogonType: 10 filter_legitimate: IpAddress|startswith: - '10.0.1.' # Ajustar para faixa de servidores de administração legítimos condition: selection and not filter_legitimate falsepositives: - Suporte remoto legítimo - correlacionar com tickets de helpdesk level: medium tags: - attack.lateral_movement - attack.t1021.001 ``` > **Dica de detecção:** Habilitar o log do canal `Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational` (Event ID 1149) é crítico - ele registra o endereço IP de origem ANTES da autenticação, permitindo detectar tentativas de brute force mesmo quando o usuário não existe. Configure alertas no SIEM para LogonType 10 de IPs externos ou de workstations de usuário final. ## Mitigação | ID | Mitigação | Implementação Prática para Organizações Brasileiras | |----|-----------|-----------------------------------------------------| | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Implementar MFA para **todas** as conexões RDP - especialmente crítico para organizações brasileiras que expõem RDP à internet. Soluções como Duo, Microsoft Authenticator ou certificados de cliente eliminam o risco de brute force com 99% de eficácia. Recomendação prioritária do CERT.br. | | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar RDP em todos os sistemas onde não é operacionalmente necessário via GPO (`Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services`). Em workstations de usuário final, RDP raramente é necessário. | | M1035 | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]] | Restringir acesso RDP por IP de origem via Windows Firewall ou ACLs de rede. RDP **nunca** deve ser exposto diretamente à internet - exigir acesso via VPN com MFA como pré-requisito. Prática básica ausente em grande parte das PMEs brasileiras. | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Implementar VLANs separadas e bloquear RDP (3389/TCP) entre segmentos não relacionados. Servidores de produção não devem aceitar RDP de workstations de usuários. Usar jump servers (bastion hosts) dedicados para acesso administrativo remoto. | | M1026 | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Restringir quais contas podem fazer logon via RDP usando o grupo `Remote Desktop Users` - remover contas de serviço e contas padrão. Habilitar `Restricted Admin Mode` para mitigar pass-the-hash via RDP em Windows 8.1+. | | M1028 | [[m1028-operating-system-configuration\|M1028 - Operating System Configuration]] | Habilitar Network Level Authentication (NLA) obrigatório - exige autenticação antes de estabelecer sessão gráfica completa, reduzindo superfície de exploração de vulnerabilidades RDP. Configurar via GPO. | | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Auditar periodicamente membros do grupo `Remote Desktop Users` e `Administrators` locais. Implementar LAPS para randomizar senhas de administrador local - impede movimentação lateral com mesma senha em múltiplos hosts. | | M1047 | [[m1047-audit\|M1047 - Audit]] | Habilitar auditoria de Logon/Logoff e Logon Especial. Ativar logs do canal Terminal Services (Event IDs 1149, 21, 25). Revisar logs de acesso RDP semanalmente ou configurar alertas automáticos no SIEM para conexões fora do horário. | ## Threat Actors | Ator | Contexto | |------|----------| | [[g0094-kimsuky\|Kimsuky]] | Grupo de espionagem norte-coreano que utiliza RDP para manter acesso persistente de longa duração em alvos governamentais e acadêmicos, frequentemente por semanas ou meses sem detecção. | | [[g1032-inc-ransom\|INC Ransom]] | Operação de ransomware-as-a-service documentada em ataques a hospitais e empresas brasileiras em 2024, utilizando acesso RDP como vetor primário de entrada obtido via credenciais compradas em mercados criminosos. | | [[g1017-volt-typhoon\|Volt Typhoon]] | Grupo chinês focado em infraestrutura crítica que utiliza RDP como parte de sua métodologia de "living off the land", evitando ferramentas customizadas para dificultar atribuição. | | [[g1023-apt5\|APT5]] | APT chinesa com histórico de exploração de serviços de acesso remoto - RDP incluído - contra alvos de telecomúnicações e tecnologia em múltiplos países, incluindo Brasil. | | [[g0049-oilrig\|OilRig]] | Grupo iraniano (APT34) que combina spear phishing com exploração de RDP para movimentação lateral em redes de energia e governo em países do Oriente Médio e além. | | [[g0040-patchwork\|Patchwork]] | Grupo de espionagem com foco em alvos sul-asiáticos que utiliza ferramentas de acesso remoto incluindo RDP para controle pós-comprometimento. | | [[g0061-fin8\|FIN8]] | Grupo financeiramente motivado que compromete organizações do varejo e hospitalidade via RDP exposto, utilizando o acesso para instalar malware de captura de dados de cartões. | | [[g1043-blackbyte\|BlackByte]] | Grupo de ransomware que explora credenciais RDP obtidas por brute force como vetor inicial em ataques contra empresas de médio porte, incluindo organizações no Brasil. | | [[g0087-apt39\|APT39]] | APT iraniana que utiliza RDP para movimentação lateral em campanhas de espionagem contra telecomúnicações e viagens, coletando informações de localização e comunicação de alvos. | | [[g0059-magic-hound\|Magic Hound]] | Grupo iraniano (APT35/Charming Kitten) que combina engenharia social com exploração de RDP para acesso persistente em alvos de alto valor como jornalistas, ativistas e pesquisadores. | ## Software Associado | Software | Tipo | Contexto | |----------|------|----------| | [[s0154-cobalt-strike\|Cobalt Strike]] | Framework C2 | Possui módulo `jump rdp` que automatiza movimentação lateral via RDP a partir de beacons ativos; amplamente documentado em incidentes brasileiros de 2023-2025. | | [[s0262-quasarrat\|QuasarRAT]] | RAT | RAT de código aberto com funcionalidade nativa de controle remoto de desktop baseada em RDP; usado por múltiplos APTs como Patchwork e APT33 para acesso persistente. | | [[s0350-zwshell\|zwShell]] | Malware | Backdoor com capacidade de tunelamento RDP utilizado por grupos chineses para pivotamento em redes comprometidas sem expor o tráfego diretamente. | | [[s0434-imminent-monitor\|Imminent Monitor]] | RAT | RAT comercial com módulo RDP frequentemente observado em campanhas de cybercrime financeiro contra empresas brasileiras e latino-americanas. | | [[s0670-warzonerat\|WarzoneRAT]] | RAT | RAT com funcionalidade de acesso remoto via RDP proxy, disponível como MaaS (malware-as-a-service), usado em campanhas de espionagem e roubo de dados na América Latina. | | [[g0008-carbanak\|Carbanak]] | Malware | Framework de ataque bancário que utiliza RDP para movimentação lateral dentro de redes de instituições financeiras, permitindo operadores controlarem estações de trabalho de transferências. | | [[s1187-regeorg\|reGeorg]] | Ferramenta | Ferramenta de tunelamento que cria proxies SOCKS via web shells, frequentemente usada para rotear tráfego RDP através de hosts comprometidos e dificultar rastreamento. | | [[s0379-revenge-rat\|Revenge RAT]] | RAT | RAT com capacidade de monitoramento de desktop e acesso remoto via RDP, popular em campanhas de baixo custo contra organizações brasileiras documentadas pelo CERT.br. | | [[s0382-servhelper\|ServHelper]] | Backdoor | Backdoor do grupo TA505 com módulo de tunelamento RDP, que instala cliente RDP no sistema comprometido para permitir acesso persistente sem abrir a porta 3389 externamente. | | [[s0461-sdbbot\|SDBbot]] | RAT | RAT usado pelo TA505 com capacidade de acesso remoto via RDP que instala cliente e servidor de forma dissimulada para persistência de longa duração em ambientes corporativos. | --- *Fonte: [MITRE ATT&CK - T1021.001](https://attack.mitre.org/techniques/T1021/001)*