RdpThief

RdpThief 自体はスタンドアロン DLL であり、mstsc.exe プロセスに挿入されると、API フックを実行し、クリアテキストの資格情報を抽出してファイルに保存します。

アグレッサー スクリプトが付属しており、状態の管理、新しいプロセスの監視、mstsc.exe へのシェルコードの挿入を担当します。 DLL は、sRDI プロジェクト (https://github.com/monoxgas/sRDI) を使用してシェルコードに変換されています。有効にすると、RdpThief は 5 秒ごとにプロセス リストを取得し、mstsc.exe を検索して挿入します。

アグレッサー スクリプトが Cobalt Strike にロードされると、3 つの新しいコマンドが使用可能になります。

• rdpthief_enable – 新しい mstsc.exe プロセスのハートビート チェックを有効にし、プロセスに挿入します。
• rdpthief_disable – 新しい mstsc.exe のハートビート チェックを無効にしますが、すでにロードされている DLL はアンロードされません。
• rdpthief_dump – 抽出された認証情報があればそれを出力します。

デモビデオ: https://www.youtube.com/watch?v=F77eODhkJ80

詳細については、https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/ をご覧ください。