Siber güvenlik araştırmacıları, uzlaşmış ağlar boyunca yanal olarak hareket etmek için uzak masaüstü protokolünü (RDP) kullanan saldırganları izlemek için gelişmiş teknikleri tanıttılar ve teknoloji bilgisayar korsanlarını her hareketini ortaya çıkaran bir dijital parmak izine dönüştürdüler.
Atılım, AppData \ Local \ Microsoft \ Terminal Server istemcisi \ cache \ ‘de bulunan önbellek dosyalarında 64 × 64 piksel uzaklık görüntülerini depolayan RDP’nin Bitmap önbellekleme mekanizmasını analiz etmeye odaklanır.
Başlangıçta yavaş bağlantılar üzerindeki performansı artırmak için tasarlanmış .bmc ve önbellek **.
Olay günlüğü adli tıp gizli kalıpları ortaya çıkarır
Windows olay günlükleri, RDP araştırması için temel oluşturur ve olay kimliği 4624 başarılı oturum açma ve olay kimliği 4625 başarısız girişimleri yakalar.
Bununla birlikte, ağ seviyesi kimlik doğrulaması (NLA) adli bir komplikasyon oluşturur: RDP bağlantıları başlangıçta beklenen Tip 10 (RemoteInteractive) yerine, potansiyel olarak yanıltıcı araştırmacılardan ziyade oturum açma tipi 3 (ağ) olarak görünür.
TerminalServices-RemoteConnectionManager, kullanıcılar oturum açma ekranına ulaştığında olay kimliği 1149, TerminalServices-LocalSessionManager’daki olay 21 gerçek oturum kuruluşunu onaylar. Bu eserler, saldırganlar yollarını örtmeye çalışsa bile devam ediyor.
İstemci tarafı eserler, saldırı yollarını ortaya çıkarır
Kaynak makinede, araştırmacılar yakın zamanda erişilen RDP hedeflerini keşfetmek için HKCU \ Software \ Microsoft \ Microsoft \ Terminal Server istemcisi \ sunucuları kayıt defteri anahtarı inceleyebilir.
MSTSC.EXE için atlama listeleri, \ Roaming \ Microsoft \ Windows \ Rest \ AutomaticDestinations \ ‘da depolanan, temel temizleme girişimlerinden kurtulan bağlantı geçmişini koruyun.
Kullanıcının belgeleri klasöründeki varsayılan.rdp dosyası, hedef IP adresleri ve kullanıcı adları da dahil olmak üzere son RDP oturumu için düz metin yapılandırma ayrıntıları içerir.
Fransa’nın Anssi ve RDPCAChestitcher’ın BMC-Tools gibi özel araçlar, araştırmacıların önbelleğe alınmış bitmap parçalarından saldırganların ekran etkinliğini yeniden inşa etmelerini sağlıyor.
Belgelenmiş bir durumda, analistler, binlerce görüntü karosunun özenle yeniden bir araya getirilmesiyle Gelişmiş Kalıcı Tehdit (APT) grubu tarafından görüntülenen hassas bir belgeyi kurtardı.
Yerel ve uzak oturumlar arasında pano senkronizasyonunu işleyen RDPCLIP.EXE işlemi, bellekte kopyalanan şifreleri ve hassas verileri koruyabilir.
Volatilite gibi bellek adli tıp araçları, bu bilgileri çıkarabilir, saldırganların oturumları sırasında kopyaladıkları kimlik bilgilerini ve komutları ortaya çıkarabilir.
Kayıt defteri anahtarlarını, olay günlüklerini ve önbellek dosyalarını silmek için temizleme komut dosyaları kullanan sofistike saldırganlar bile beklenmedik yerlerde izler bırakır.
Cihaz yeniden yönlendirme olayları, yazıcı adları veya alan yolları aracılığıyla saldırganın başlangıç ağını potansiyel olarak açığa çıkararak eşlenmiş yazıcıları veya sürücüleri günlüğe kaydedebilir.
Bu kapsamlı adli yaklaşım, RDP’yi bir saldırganın gizli aracından ayrıntılı bir denetim izine dönüştürür.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.