Siber güvenlik araştırmacıları, kurumsal ağlardaki yanal hareket için uzak masaüstü protokolünü (RDP) kullanan sofistike saldırganları izlemek için yenilikçi adli yöntemler geliştirdiler.
Bu atılım tekniği, saldırganların gizli operasyonlar olduğuna inandıkları şey ayrıntılı dijital ayak izlerine dönüştürür ve olay müdahale ekiplerine tehlikeye girmiş sistemlerdeki kötü niyetli faaliyetlere benzeri görülmemiş bir görünürlük sağlar.
Key Takeaways
1. Investigators identify RDP attackers through Windows Event IDs 4624/4625 and unique Network Level Authentication patterns that reveal connection attempts and successful breaches.
2. Forensic tools reconstruct attacker screen activity from thousands of 64x64 pixel bitmap fragments stored in RDP cache files, revealing viewed files and commands.
3. Memory-extracted session keys enable RDP traffic decryption and complete session replay using tools like RDP-Replay to visualize attacker actions.
4. Clipboard data, process artifacts, and registry entries expose passwords, connection history, and lateral movement targets that attackers cannot easily delete.
Yeni yaklaşım, bilgisayar korsanlarının RDP oturumları sırasında bilmeden geride bıraktığı birden fazla veri kaynağından yararlanarak, temizleme operasyonlarına teşebbüs edildikten sonra bile yeniden inşa edilebilecek kapsamlı bir iz oluşturuyor.
Güvenlik uzmanları, uzak oturumlar sırasında her tıklama, tuş vuruşu ve ekran etkileşiminin, yetkisiz erişimin tam bir resmini çizen geri kazanılabilir eserler ürettiğini gösterir.
Olay günlüğü analizi kimlik doğrulama modellerini ortaya çıkarır
MAT CYB3RF0X Fuchs’a göre, adli teknik, özellikle güvenlik günlüğündeki olay kimliği 4624 (başarılı oturum açma) ve Olay Kimliği 4625’e (başarısız oturum açma) odaklanan Windows olay günlüklerinin sofistike analizi ile başlar.
Ağ Seviyesi Kimlik Doğrulaması (NLA), RDP bağlantılarının başlangıçta Tip 10’a (RemoteInIctive
Araştırma, “TerminalServices-RemoteConnectionManager günlüğü, tam kimlik doğrulaması başarısız olsa bile RDP hizmetlerine başarılı ağ bağlantılarını gösteren olay kimliği 1149 girişleri içeriyor” diye açıklıyor.
Bu, araştırmacıların Brute-Force etkinliklerini ve başarılı ihlalleri haritalamasına yardımcı olan bir bağlantı denemeleri zaman çizelgesi oluşturur.
Terminalservices-localsessionManager günlüklerinden ek kanıtlar ortaya çıkar, burada olay 21 (oturum oturum açma başarılı) ve olay 24 (oturum oturumu) RDP oturumları için kesin zamanlama verileri sağlar.
Benzersiz oturum açma kimliği alanı, çeşitli etkinlikleri belirli oturumlara bağlar ve araştırmacıların belirli bir saldırı sırasında gerçekleştirilen tüm eylemleri izlemelerini sağlar.
Bitmap Cache Adli Tıp Saldırgan Ekranlarını Yeniden Yapılandırır
Belki de en devrimci yönü, AppData \ Local \ Microsoft \ Terminal Server istemcisi \ cache \ ‘de depolanan RDP Bitmap önbellek dosyalarının analiz edilmesini içerir.
Bu önbellek dosyaları, saldırganların oturumları sırasında izlediği uzak ekranın bölümlerini temsil eden binlerce 64 × 64 piksel karo içerir.
Müfettişler, bu bitmap parçalarını tanınabilir ekran yakalamalar halinde yeniden yapılandırmak için BMC-Tools ve RDPCAChestitcher gibi özel araçları kullanabilirler.
Araştırmacılar, “Dosya adlarını, uygulama pencerelerini ve hatta Bitmap önbelleklerinden komut istemi çıktısını başarıyla kurtardık” dedi.
Bir vaka, bir PowerShell oturumunu kimlik bilgisi boşaltma araçlarıyla gösteren parçaları yeniden yapılandırarak bir saldırganın faaliyetlerini ortaya çıkardı.
Teknik, Bitmap önbellek analizinin saldırganın bir bulut depolama hizmetine girişini ortaya koyduğu ve hesaplarında depolanan ek kurban verilerini ortaya çıkardığı bir fidye yazılımı araştırmasında özellikle etkili oldu.
Ağ ve Bellek Analizleri
Ağ düzeyinde analiz, TCP bağlantı noktası 3389’da güvenlik duvarı günlükleri, netflow verileri ve paket yakalamalarının incelenmesi yoluyla ana bilgisayar tabanlı kanıtları tamamlar.
Gelişmiş teknikler, oturum anahtarları bellek dökümlerinden kurtarıldığında RDP trafiğini şifresini çözebilir ve potansiyel olarak RDP-Replay gibi araçları kullanarak tam oturum tekrarını sağlar.
Bellek adli tıp, genellikle saldırganların sistemler arasında kopyalandığı şifreler veya hassas veriler içeren pano içeriğini ve rdpclip.exe proses artefaktlarını ortaya çıkarır.
Kayıt defteri analizi, HKCU \ Software \ Microsoft \ Terminal Server Client \ sunucularındaki bağlantı geçmişini ortaya çıkarır ve yanal hareket hedeflerinin kanıtını sağlar.
Bu kapsamlı adli yaklaşım, RDP’yi bir saldırganın gizli aracından ayrıntılı bir kanıt üreticisine dönüştürerek olay yanıt yeteneklerini önemli ölçüde artırır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi