RdpThief
1.0.0
RdpThief โดยตัวมันเองเป็น DLL แบบสแตนด์อโลนที่เมื่อฉีดเข้าไปในกระบวนการ mstsc.exe จะทำการเชื่อมต่อ API แยกข้อมูลรับรองข้อความที่ชัดเจนและบันทึกลงในไฟล์
มาพร้อมกับสคริปต์ Aggressor ซึ่งรับผิดชอบในการจัดการสถานะ การตรวจสอบกระบวนการใหม่ และการฉีดเชลล์โค้ดใน mstsc.exe DLL ถูกแปลงเป็นเชลล์โค้ดโดยใช้โครงการ sRDI (https://github.com/monoxgas/sRDI) เมื่อเปิดใช้งาน RdpThief จะได้รับรายการกระบวนการทุกๆ 5 วินาที ค้นหา mstsc.exe และแทรกเข้าไป
เมื่อสคริปต์ Aggressor ถูกโหลดบน Cobalt Strike จะมีคำสั่งใหม่สามคำสั่ง:
วิดีโอสาธิต : https://www.youtube.com/watch?v=F77eODhkJ80
สามารถดูรายละเอียดเพิ่มเติมได้ที่ : https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/
