🧿 Escritorio Remoto (Remote Desktop Protocol)

Purple Mystara Vol.2 · Conexiones visuales, túneles remotos y control total

1️⃣ ALEGORÍA + 🧠 EXPLICACIÓN TÉCNICA

ALEGORÍA PARA COMPRENDER RDP Y ESCRITORIO REMOTO

Imagina que eres una maga que quiere acceder a su torre secreta ubicada en otro reino (otro equipo remoto). No puedes teletransportarte físicamente, pero sí puedes proyectar tu conciencia, ver todo lo que hay allí, mover objetos, leer libros y lanzar hechizos, como si estuvieras dentro.

Eso es el escritorio remoto: controlas otro equipo sin estar físicamente presente.

🔹 El Protocolo de Escritorio Remoto (RDP) es como tu espejo mágico encantado. Puedes ver lo que ocurre dentro del otro castillo y enviar tus órdenes desde la distancia.
🔹 Solo viajan imágenes, audio y movimientos, no los objetos reales.
🔹 El túnel que usas está cifrado, pero si el espejo es robado o clonado por un impostor (ataque MITM o claves débiles), ese acceso puede convertirse en una trampa.

🧠 EXPLICACIÓN TÉCNICA

Remote Desktop Protocol (RDP) es un protocolo desarrollado por Microsoft que permite acceso remoto gráfico a una máquina.
Opera por defecto sobre el puerto TCP 3389 y transmite:

  • Imagen del escritorio (gráficos).

  • Audio.

  • Entrada del teclado y ratón.

🖥️ Es usado para:

  • Administración de servidores.

  • Soporte remoto.

  • Trabajo remoto en entornos Windows.

📌 CARACTERÍSTICAS CLAVE

🔐 Cifrado:

  • Desde Windows 7 en adelante, RDP cifra la comunicación por defecto.

  • Puede usarse junto a una VPN o detrás de una puerta de enlace RDP (RDP Gateway).

🌍 Acceso remoto:

  • Puede ser directo (RDP puro sobre Internet) o encapsulado en una VPN.

  • Requiere configuración adecuada de redirección de puertos, NAT o DMZ si se accede desde fuera.

🖼️ Soluciones alternativas a RDP:

  • TeamViewer, AnyDesk → propietario, cifrado extremo a extremo, multiplataforma.

  • VNC (Virtual Network Computing) → estándar abierto, sin cifrado por defecto.

  • Apache Guacamole → acceso remoto desde navegador web, usando HTML5 + WebSocket, sin necesidad de cliente.

2️⃣ EJEMPLOS PRÁCTICOS

🧑‍💻 Administración remota de servidores Windows desde casa a través de VPN y RDP.

🎓 Soporte a usuarios en entornos educativos, usando VNC para acceder al equipo del alumno.

🏥 Acceso a escritorios virtuales en hospitales a través de una RDP Gateway y multifactor.

🌐 Uso de Guacamole para acceder a escritorios sin instalar cliente, sólo desde navegador.

3️⃣ APLICACIONES Y HERRAMIENTAS REALES

🔧 Protocolo y software:

  • RDP: nativo en Windows (mstsc.exe)

  • Remmina: cliente RDP/VNC para Linux

  • Guacamole: acceso vía navegador, sin cliente, usando WebSocket y HTML5

  • TeamViewer / AnyDesk / Chrome Remote Desktop: opciones comerciales cifradas

📦 Infraestructura:

  • Remote Desktop Gateway (RDG) → permite RDP a través de HTTPS (puerto 443).

  • Virtual Desktop Infrastructure (VDI) → escritorios virtuales para usuarios internos.

4️⃣ ¿QUÉ HACE CADA EQUIPO?

🔴 Red Team (ataca):

  • Escanea red para detectar puertos 3389 abiertos (nmap -p 3389).

  • Utiliza rdpscan o Ncrack para detectar sesiones RDP sin MFA o credenciales débiles.

  • Lanza ataques brute force o aprovecha vulnerabilidades como BlueKeep (CVE-2019-0708).

  • Simula ataques MITM si se intercepta tráfico sin cifrar adecuadamente.

🔵 Blue Team (defiende):

  • Cierra puertos RDP públicos → permite solo acceso interno vía VPN o RDG.

  • Activa autenticación con NLA (Network Level Authentication).

  • Implementa MFA (Azure MFA, DUO) para accesos remotos.

  • Habilita logs avanzados de RDP y monitoriza con Event ID 4624/4625.

🟣 Purple Team (supervisa y refuerza):

  • Simula escaneos y ataques RDP para validar que el SIEM genera alertas.

  • Prueba fuerza bruta controlada y evalúa el tiempo de detección y bloqueo.

  • Audita uso de escritorios remotos: ¿quién accede, desde dónde, en qué horarios?

  • Verifica si los accesos no autorizados generan eventos anómalos correlacionables.

6️⃣ ✅ RESUMEN PRÁCTICO

  • RDP es una herramienta poderosa y necesaria en entornos corporativos, pero su exposición sin controles puede ser letal.

  • El Red Team puede explotarlo con fuerza bruta, exploits o MITM.

  • El Blue Team debe cerrar exposición directa, cifrar, aplicar MFA y monitorizar.

  • El Purple Team valida detección y propone mecanismos de corrección y visualización avanzada.

🧪 LABORATORIO PURPLE TEAM – RDP (Remote Desktop Protocol)

🔐 Control remoto gráfico, vulnerabilidades expuestas y espejos mágicos cifrados

📍ATAQUE 1 – Nivel AVANZADO

🎯 Objetivo: Acceso inicial a escritorio remoto mediante fuerza bruta

🔴 Red Team:

Simulación:

  • Escaneas la red en busca de puertos 3389 abiertos (RDP expuesto):

bash:nmap -p 3389 --open -sV 192.168.1.0/24

  • Lanzas fuerza bruta contra RDP con ncrack:

bash:ncrack -vv --user admin -P rockyou.txt rdp://192.168.1.50

🔵 Blue Team:

Defensa:

  • Configuras RDP para solo aceptar conexiones con NLA (autenticación a nivel de red).

  • Usas GPO o política local para limitar intentos de sesión (Account Lockout Policy).

  • Implementas Fail2Ban o Wazuh para detectar múltiples intentos fallidos en el log de eventos (Event ID 4625).

  • Opcional: migras RDP a una VPN interna o Gateway HTTPS.

🟣 Purple Team:

Supervisión:

  • Simulas ataques de fuerza bruta en entorno controlado.

  • Verificas que los logs se generan (ID 4625) y llegan al SIEM.

  • Evalúas si hay umbral de bloqueo efectivo y cómo responde el sistema.

  • Documentas alertas, tiempo de detección y ajustes recomendados.

Qué se logra: Se comprueba la visibilidad y respuesta ante ataques de diccionario contra RDP y se endurecen las políticas de acceso remoto.

📍ATAQUE 2 – Nivel EXPERTO

🎯 Objetivo: Explotación de vulnerabilidad RDP crítica (ej. BlueKeep)

🔴 Red Team:

Simulación:

  • Escaneas versión vulnerable con rdpscan (detecta BlueKeep):

bash:rdpscan -v -t 192.168.1.70

  • Si se detecta una versión vulnerable (ej. Windows 7 sin parche), simulas exploit con Metasploit (modo demostrativo):

bash:use exploit/windows/rdp/cve_2019_0708_bluekeep_rce

⚠️ Solo en laboratorio controlado.

🔵 Blue Team:

Defensa:

  • Aseguras que todos los sistemas estén actualizados con los parches de BlueKeep y otras vulnerabilidades RDP.

  • Habilitas el aislamiento de red para sistemas legados.

  • Monitorizas eventos sospechosos como bloqueos de pantalla inesperados o procesos anómalos tras sesión RDP.

🟣 Purple Team:

Supervisión:

  • Verificas si el SIEM detecta tráfico RDP inusual.

  • Correlacionas los logs del servicio RDP con otras fuentes (NDR, firewall, EDR).

  • Generas reglas de alerta para versiones de Windows obsoletas en uso.

Qué se logra: Se valida la postura defensiva ante vulnerabilidades conocidas, se actualiza el inventario de sistemas expuestos y se fortalecen controles en endpoints vulnerables.

📍ATAQUE 3 – Nivel MAESTRO

🎯 Objetivo: Persistencia encubierta usando RDP + Guacamole (HTML5 RDP Gateway)

🔴 Red Team:

Simulación:

  • Accedes a la red interna mediante VPN y descubres acceso a Guacamole (puerto 8080 o 8443).

  • Desde allí, lanzas sesión RDP al entorno objetivo, sin levantar sospechas externas.

  • Usas proxy inverso o tunelización para mantener el acceso persistente.

🔵 Blue Team:

Defensa:

  • Configuras autenticación multifactor en el servidor Apache Guacamole.

  • Monitorizas conexiones inusuales o prolongadas desde IPs externas.

  • Limita el acceso al gateway RDP solo por VPN con control de identidad (Zero Trust).

  • Revisa guacd logs y registros del servidor web (Tomcat/Nginx).

🟣 Purple Team:

Supervisión:

  • Simulas sesión RDP prolongada vía Guacamole y revisas visibilidad en SIEM.

  • Detectas actividad persistente fuera del horario laboral.

  • Correlacionas logs de Guacamole con accesos a escritorio remoto.

  • Diseñas alertas por duración de sesión + inactividad sospechosa.

Qué se logra: Se detecta y documenta el uso de plataformas intermedias como Guacamole para mantener persistencia. Se implementan controles de sesión, visibilidad y autenticación reforzada.

🧬 BONUS CHALLENGE – VISIÓN DE ARQUITECTA

🎯 Diseña una regla de correlación para detectar abuso de RDP desde navegadores web o conexiones prolongadas.

Ejemplo (lógica):

scss:SI Conexión RDP desde cliente HTML5 (user-agent detectado o vía guacd) Y Duración > 1 hora Y Sin interacción (sin movimientos de ratón o cambios de pantalla) ENTONCES Alerta: "Posible persistencia remota oculta vía RDP HTML5"

💥 Ejercicios Purple Team – Escritorio Remoto & VPN HTML5

Cada ejercicio incluye:

  • 🔴 Técnicas Red Team (ataque o prueba de concepto)

  • 🔵 Contramedidas Blue Team (detección, monitoreo y defensa)

  • 💜 Qué se ha logrado (aprendizaje consciente)

🔒 Ejercicio 1 – Enumeración de servicios RDP expuestos

🔴 Red Team
Lanza un escaneo con Nmap para detectar puertos RDP abiertos (3389):

bash:nmap -p 3389 -sV -Pn <rango_IP>

🔵 Blue Team

  • En el SIEM (Wazuh, Splunk o similar), crea una alerta para detectar escaneos en puertos 3389.

  • Verifica si el firewall permite conexiones RDP desde cualquier IP externa.

💜 Qué se ha logrado
Detectas activos expuestos a internet con RDP, evalúas visibilidad desde Blue Team y cierras brechas visibles.

🎭 Ejercicio 2 – Simulación de fuerza bruta RDP

🔴 Red Team
Usa hydra o crowbar para simular un ataque de fuerza bruta sobre RDP interno (bajo entorno de laboratorio controlado):

bash:hydra -t 4 -V -f -l admin -P rockyou.txt rdp://<IP_víctima>

🔵 Blue Team

  • Habilita la auditoría de eventos en Windows (4625 - login fallido).

  • Configura reglas de alertas en Wazuh/SIEM si hay más de 5 fallos de login en menos de 1 minuto.

💜 Qué se ha logrado
Detectas intentos de acceso no autorizados por RDP y aseguras que el sistema de defensa responde ante fuerza bruta.

🌐 Ejercicio 3 – Validación de RDP sin cliente con Guacamole

🔴 Red Team
Accede a Guacamole desde navegador y prueba si:

  • El acceso está cifrado.

  • Existe validación multifactor.

  • Se puede capturar tráfico (usa Wireshark) si el canal no está bien configurado.

🔵 Blue Team

  • Verifica que Guacamole esté detrás de un reverse proxy con HTTPS.

  • Asegura que la autenticación use certificados, LDAP o SSO con MFA.

  • Aplica controles de geolocalización IP y horarios.

💜 Qué se ha logrado
Aseguras que las soluciones de acceso remoto modernas no expongan datos críticos ni permitan acceso no controlado.

🧾 Ejercicio 4 – Monitorización de sesiones RDP activas

🔴 Red Team
Intenta conectarte a una máquina vía RDP y mantén la sesión abierta sin realizar actividad (idle session).

🔵 Blue Team

  • Usa PowerShell o herramientas como quser, qwinsta, o WMI para listar sesiones activas.

  • Configura políticas de cierre automático de sesiones RDP inactivas.

  • Establece logs de inicio y cierre de sesión (LogonType 10 en Windows Event Viewer).

💜 Qué se ha logrado
Garantizas que las sesiones RDP no permanezcan abiertas indefinidamente, evitando persistencia oculta.

📡 Ejercicio 5 – Detección de transferencia de archivos vía RDP

🔴 Red Team
Con una sesión RDP activa, transfiere un archivo .zip sospechoso desde el cliente al host remoto.

🔵 Blue Team

  • Habilita auditoría de archivos en el host remoto (Auditing Object Access).

  • Usa Sysmon para detectar nuevas escrituras en rutas como C:\Users\%USERNAME%\Downloads.

  • Correlaciona actividad con sesiones activas RDP.

💜 Qué se ha logrado
Monitoreas transferencias de archivos no autorizadas vía RDP, reforzando DLP y control de comportamiento del usuario.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.