RdpThief

RdpThief 자체는 mstsc.exe 프로세스에 삽입될 때 API 후킹을 수행하고 일반 텍스트 자격 증명을 추출하여 파일에 저장하는 독립 실행형 DLL입니다.

상태 관리, 새 프로세스 모니터링, mstsc.exe에 셸코드 삽입을 담당하는 공격자 스크립트가 함께 제공됩니다. DLL은 sRDI 프로젝트(https://github.com/monoxgas/sRDI)를 사용하여 쉘코드로 변환되었습니다. 활성화되면 RdpThief는 5초마다 프로세스 목록을 가져오고 mstsc.exe를 검색하여 주입합니다.

Cobalt Strike에 공격자 스크립트가 로드되면 세 가지 새로운 명령을 사용할 수 있습니다.

• rdpthief_enable – 새로운 mstsc.exe 프로세스의 하트비트 검사를 활성화하고 여기에 삽입합니다.
• rdpthief_disable – 새 mstsc.exe의 하트비트 검사를 비활성화하지만 이미 로드된 DLL을 언로드하지는 않습니다.
• rdpthief_dump – 추출된 자격 증명이 있는 경우 이를 인쇄합니다.

시연 영상 : https://www.youtube.com/watch?v=F77eODhkJ80

자세한 내용은 https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/에서 확인할 수 있습니다.