RdpThief

RdpThief في حد ذاته عبارة عن ملف DLL مستقل، والذي عند إدخاله في عملية mstsc.exe، سيؤدي إلى ربط واجهة برمجة التطبيقات (API)، واستخراج بيانات اعتماد النص الواضح وحفظها في ملف.

يرافقه البرنامج النصي المعتدي، وهو المسؤول عن إدارة الحالة ومراقبة العمليات الجديدة وحقن كود القشرة في mstsc.exe. تم تحويل DLL إلى كود القشرة باستخدام مشروع sRDI (https://github.com/monoxgas/sRDI). عند تمكينه، سيحصل RdpThief على قائمة العمليات كل 5 ثوانٍ، ويبحث عن mstsc.exe، ويحقنه.

عند تحميل البرنامج النصي للمعتدي على Cobalt Strike، ستتوفر ثلاثة أوامر جديدة:

• rdpthief_enable - تمكين فحص نبضات عمليات mstsc.exe الجديدة وإدخالها فيها.
• rdpthief_disable - تعطيل فحص نبضات mstsc.exe الجديد ولكن لن يقوم بإلغاء تحميل DLL المحمل بالفعل.
• rdpthief_dump – يطبع بيانات الاعتماد المستخرجة إن وجدت.

فيديو توضيحي: https://www.youtube.com/watch?v=F77eODhkJ80

يمكن العثور على مزيد من التفاصيل على: https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/