Shadow RDP: Jak útočníci přebírají relace cloudových administrátorů
Útočníci obešli MFA v hybridním prostředí on-prem AD + Azure pomocí vestavěné funkce Shadow RDP ve Windows. Připojili se k aktivní relaci administrátora bez opětovné autentizace a získali plnou kontrolu nad Azure zdroji. Útok zůstal v logách Azure AD nepovšimnut až do analýzy délky relace přes 12 hodin.
Podmínky útoku a počáteční známky
Hybridní infrastruktura zahrnovala on-prem Active Directory se synchronizací přes Azure AD Connect. Kritické aktiva — virtuální stroje a úložiště — byla v Azure. MFA byla aplikována na všechny privilegované účty.
Azure AD zaznamenal jediné úspěšné přihlášení s MFA ráno. Následné akce vypadaly jako pokračování stejné relace. Anomálie se projevila nadměrnou délkou: více než 12 hodin bez noční aktivity administrátora.
| Známka | Normální chování | Během útoku |
|--------|------------------|-------------|
| Délka relace Azure AD | 8–9 hodin | 24+ hodin |
| MFA požadavky | Každé ráno nebo při změně IP | Chybí po převzetí |
| IP adresa | Kancelář/VPN | Stejná jako u admina |
| Procesy | Prohlížeč, PowerShell, RDP | + mstsc /shadow |
| Čas aktivity | 9:00–18:00 | Noční hodiny |
Technická realizace Shadow RDP
Shadow RDP je vestavěná funkce Windows 10/11 a Server s rolí RDSH. Umožňuje připojení k aktivní relaci jiného uživatele.
Útočníci upravili registr na stanici administrátora pro tichý přístup:
# Plná kontrola bez souhlasu (režim 2)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 2 /f
# Vypnout upozornění na sledování
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v ShadowNotification /t REG_DWORD /d 0 /f
Režimy Shadow:
- 0 — zakázáno
- 1 — plná kontrola s povolením
- 2 — plná kontrola bez povolení
- 3 — sledování s povolením
- 4 — sledování bez povolení (použito v útoku)
Navíc nastavili pravidla Windows Defender Firewall pro RDP porty.
Připojení k relaci: mstsc /shadow:ID_relace /control /noConsentPrompt.
Klíčové události v logách Windows
Monitorování následujících Event ID umožňuje odhalit Shadow RDP:
- Event ID 20508 — Shadow View Permission Granted
- Event ID 20503 — Shadow View Session Started
- Event ID 20504 — Shadow View Session Stopped
Další logy pro vyšetřování:
| Zdroj | Event ID | Zaznamenává |
|-------|----------|-------------|
| Security (stanice admina) | 4657 | Změna Shadow/ShadowNotification v registru |
| PowerShell Operational | 4103 | Set-ItemProperty pro registr |
| TerminalServices-LocalSessionManager | 20503 | Začátek stínového připojení |
| TerminalServices-LocalSessionManager | 20504 | Konec stínového připojení |
| Azure AD Sign-in | — | Délka relace |
| Azure AD Sign-in | — | Chybějící MFA při změně IP |
Opatření proti útoku
- GPO pro vypnutí Shadow RDP: Nastavit Shadow=0 na nepotřebných hostech.
- Omezení RDP relací: GPO „Omezit délku relace“ — 8 hodin s nuceným ukončením.
- Conditional Access v Azure AD:
* Frekvence MFA: 1–2 hodiny.
* Opětovná autentizace při změně IP.
* Zakázat "Keep me signed in" pro privilegia.
- Ochrana RDP hostů:
* Restricted Admin Mode.
* Credential Guard.
* Remote Credential Guard.
- PAW/PAM stanice: Izolované stroje pro administraci, restart po relaci, bez internetu/emailu.
- Monitorování v SIEM/SOAR:
* Změny registru.
* Event ID 20503/20504.
* Korelace cloudových a on-prem logů.
Co je důležité
- MFA nechrání před převzetím relací: soustřeďte se na kontrolu délky a procesů.
- Shadow RDP je vestavěná funkce, odhalíte ji podle registru a Event ID 20503+.
- Hybridní prostředí vyžaduje korelaci logů Azure AD a Windows.
- Conditional Access s častým MFA je základní bariéra proti session hijacking.
- PAW minimalizuje povrch útoku na koncových stanicích.
— Editorial Team
Zatím žádné komentáře.