Neue forensische Methode enthüllt versteckte Spuren von RDP-Angriffen

LONDON (IT BOLTWISE) – In der Welt der Cybersicherheit gibt es ständig neue Entwicklungen, die sowohl Angreifer als auch Verteidiger vor neue Herausforderungen stellen. Eine der neuesten Entdeckungen in diesem Bereich ist eine fortschrittliche Methode zur Verfolgung von Angreifern, die das Remote Desktop Protocol (RDP) nutzen, um sich lateral durch kompromittierte Netzwerke zu bewegen.

Die jüngste Entdeckung in der Cybersicherheitsforschung zeigt, wie Angreifer, die das Remote Desktop Protocol (RDP) nutzen, durch eine neue forensische Methode aufgespürt werden können. Diese Methode verwandelt die Technologie, auf die Hacker angewiesen sind, in einen digitalen Fingerabdruck, der ihre Bewegungen offenlegt. Im Zentrum dieses Durchbruchs steht die Analyse des Bitmap-Caching-Mechanismus von RDP, der 64×64 Pixel große Kacheln von Remote-Bildschirmbildern in Cache-Dateien speichert.

Diese .BMC- und Cache**.bin-Dateien, ursprünglich zur Leistungsverbesserung bei langsamen Verbindungen entwickelt, dienen nun als Schatzkammer forensischer Beweise, die genau zeigen, was Angreifer während ihrer Sitzungen gesehen haben. Windows-Ereignisprotokolle bilden die Grundlage für RDP-Untersuchungen, wobei Ereignis-ID 4624 erfolgreiche Anmeldungen und Ereignis-ID 4625 fehlgeschlagene Versuche erfasst.

Eine Herausforderung stellt die Netzwerkebenen-Authentifizierung (NLA) dar, die eine forensische Komplikation schafft: RDP-Verbindungen erscheinen zunächst als Anmeldetyp 3 (Netzwerk) anstelle des erwarteten Typs 10 (RemoteInteractive), was Ermittler in die Irre führen könnte. Das TerminalServices-RemoteConnectionManager-Protokoll zeichnet die Ereignis-ID 1149 auf, wenn Benutzer den Anmeldebildschirm erreichen, während Ereignis 21 im TerminalServices-LocalSessionManager die tatsächliche Sitzungsherstellung bestätigt.

Auf der Quellmaschine können Ermittler den Registrierungsschlüssel HKCUSoftwareMicrosoftTerminal Server ClientServers untersuchen, um kürzlich aufgerufene RDP-Ziele zu entdecken. Sprunglisten für mstsc.exe, die in RoamingMicrosoftWindowsRecentAutomaticDestinations gespeichert sind, bewahren die Verbindungshistorie, die grundlegenden Bereinigungsversuchen standhält. Die Datei Default.rdp im Dokumentenordner des Benutzers enthält Klartextkonfigurationsdetails für die letzte RDP-Sitzung, einschließlich Ziel-IP-Adressen und Benutzernamen.

Spezialisierte Werkzeuge wie BMC-Tools von Frankreichs ANSSI und RdpCacheStitcher ermöglichen es Ermittlern, die Bildschirmaktivität von Angreifern aus zwischengespeicherten Bitmap-Fragmenten zu rekonstruieren. In einem dokumentierten Fall konnten Analysten ein ganzes sensibles Dokument wiederherstellen, das von einer Advanced Persistent Threat (APT)-Gruppe betrachtet wurde, indem sie Tausende von Bildkacheln mühsam zusammensetzten.

Der Prozess rdpclip.exe, der die Zwischenablagesynchronisation zwischen lokalen und Remote-Sitzungen verwaltet, kann kopierte Passwörter und sensible Daten im Speicher behalten. Speicherforensik-Tools wie Volatility können diese Informationen extrahieren und Anmeldeinformationen und Befehle aufdecken, die Angreifer während ihrer Sitzungen kopiert haben. Selbst ausgeklügelte Angreifer, die Bereinigungsskripte verwenden, um Registrierungsschlüssel, Ereignisprotokolle und Cache-Dateien zu löschen, hinterlassen Spuren an unerwarteten Orten.

Geräteumleitungsereignisse können gemappte Drucker oder Laufwerke protokollieren und möglicherweise das Ursprungsnetzwerk des Angreifers durch Druckernamen oder Domänenpfade offenlegen. Dieser umfassende forensische Ansatz verwandelt RDP von einem Werkzeug der Tarnung in eine detaillierte Prüfspur.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!