Los investigadores de ciberseguridad han desarrollado métodos forenses innovadores para rastrear atacantes sofisticados que explotan el protocolo de escritorio remoto (RDP) para el movimiento lateral dentro de las redes empresariales.
Esta técnica innovadora transforma lo que los atacantes creen que son operaciones sigilosas en huellas digitales detalladas, proporcionando a los respondedores de incidentes con una visibilidad sin precedentes en actividades maliciosas en los sistemas comprometidos.
Control de llave
1. Los investigadores identifican a los atacantes de RDP a través de IDS de eventos de Windows 4624/4625 y patrones de autenticación de nivel de red únicos que revelan intentos de conexión y violaciones exitosas.
2. Herramientas forenses Reconstruye la actividad de la pantalla del atacante de miles de fragmentos de mapa de bits de 64×64 píxeles almacenados en archivos de caché RDP, revelando archivos y comandos vistas.
3. Las claves de sesión extraídas de memoria habilitan el descifrado de tráfico RDP y complete la repetición de la sesión utilizando herramientas como RDP-Replay para visualizar las acciones del atacante.
4. Datos del portapapeles, artefactos de proceso y entradas de registro exponen contraseñas, historial de conexión y objetivos de movimiento lateral que los atacantes no pueden eliminar fácilmente.
El nuevo enfoque aprovecha múltiples fuentes de datos que los piratas informáticos dejan sin saberlo durante las sesiones de RDP, creando un sendero integral que puede reconstruirse incluso después de un intento de operaciones de limpieza.
Los expertos en seguridad demuestran cómo cada clic, pulsación de tecla y interacción de pantalla durante las sesiones remotas genera artefactos recuperables que pintan una imagen completa de acceso no autorizado.
El análisis del registro de eventos revela patrones de autenticación
Según MAT CYB3RF0X FUCHS, la técnica forense comienza con un análisis sofisticado de los registros de eventos de Windows, particularmente enfocándose en el ID de eventos 4624 (inicios de sesión exitosos) e ID de eventos 4625 (inicios de sesión fallidos) en el registro de seguridad.
La autenticación de nivel de red (NLA) crea patrones únicos donde las conexiones RDP inicialmente aparecen como Tipo de inicio de sesión 3 (red) antes de la transición al Tipo 10 (Remoteinteractive).
“El registro TerminalServices-RemoteconnectionManager contiene entradas de ID de evento 1149 que indican conexiones de red exitosas a los servicios de RDP, incluso cuando la autenticación completa falla”, explica la investigación.
Esto crea una línea de tiempo de intentos de conexión que ayuda a los investigadores a mapear actividades de fuerza bruta y violaciones exitosas.
La evidencia adicional surge de los registros de terminalservices-LocalsessionManager, donde el evento 21 (el inicio de sesión de la sesión ha tenido éxito) y el evento 24 (logro de sesión) proporcionan datos de tiempo precisos para las sesiones de RDP.
El campo de ID de inicio de sesión único vincula varias actividades con sesiones específicas, lo que permite a los investigadores rastrear todas las acciones realizadas durante una intrusión particular.
Script de limpieza RDP utilizado por un grupo de ransomware
Bitmap Cache Forensics Reconstruye pantallas de atacantes
Quizás el aspecto más revolucionario implica analizar los archivos de caché de mapa de bits RDP almacenados en AppData \ Local \ Microsoft \ Terminal Server Client \ Cache \.
Estos archivos de caché contienen miles de mosaicos de 64 × 64 píxeles que representan partes de la pantalla remota que los atacantes vieron durante sus sesiones.
Los investigadores pueden usar herramientas especializadas como BMC-Tools y RDPCachestitcher para reconstruir estos fragmentos de mapa de bits en capturas de pantalla reconocibles.
“Hemos recuperado con éxito los nombres de archivos, las ventanas de aplicaciones e incluso la salida del símbolo del sistema de los cachés de mapa de bits”, los investigadores informe.
Un caso reveló las actividades de un atacante al reconstruir fragmentos que muestran una sesión de PowerShell con herramientas de descarga de credenciales.
Extracto de bitmapcache que muestra un uso probable de mimikatz
La técnica demostró ser particularmente efectiva en una investigación de ransomware donde el análisis de caché de mapa de bits reveló el inicio de sesión del atacante a un servicio de almacenamiento en la nube, exponiendo datos adicionales de víctimas almacenados en su cuenta.
Insights de red y memoria
El análisis a nivel de red complementa la evidencia basada en el host mediante el examen de registros de firewall, datos de Netflow y capturas de paquetes en el puerto TCP 3389.
Las técnicas avanzadas pueden descifrar el tráfico RDP cuando las claves de sesión se recuperan de los volcados de memoria, lo que puede permitir la repetición de sesión completa utilizando herramientas como RDP-Replay.
Memory Forensics revela el contenido del portapapeles y los artefactos del proceso rdpclip.exe, que a menudo contienen contraseñas o datos confidenciales que los atacantes copiaron entre los sistemas.
El análisis del registro descubre el historial de conexión en HKCU \ Software \ Microsoft \ Terminal Server Client \ servidores, proporcionando evidencia de objetivos de movimiento lateral.
Este enfoque forense integral transforma RDP de la herramienta sigilosa de un atacante en un generador de evidencia detallado, mejorando significativamente las capacidades de respuesta a incidentes.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
