RdpThief

RdpThief 本身是一个独立的 DLL，当注入 mstsc.exe 进程时，将执行 API 挂钩、提取明文凭据并将其保存到文件中。

它附带一个攻击者脚本，负责管理状态、监视新进程并将 shellcode 注入 mstsc.exe。 DLL 已使用 sRDI 项目 (https://github.com/monoxgas/sRDI) 转换为 shellcode。启用后，RdpThief 将每 5 秒获取一次进程列表，搜索 mstsc.exe 并注入到其中。

当攻击者脚本加载到 Cobalt Strike 上时，将提供三个新命令：

• rdpthief_enable – 启用新的 mstsc.exe 进程的心跳检查并将其注入。
• rdpthief_disable – 禁用新 mstsc.exe 的心跳检查，但不会卸载已加载的 DLL。
• rdpthief_dump – 打印提取的凭据（如果有）。

演示视频：https://www.youtube.com/watch?v=F77eODhkJ80

更多详细信息请访问：https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/