RdpThief

RdpThief 本身是一個獨立的 DLL，當注入 mstsc.exe 進程時，將執行 API 掛鉤、提取明文憑並將其儲存到檔案中。

它附帶一個攻擊者腳本，負責管理狀態、監視新進程並將 shellcode 注入 mstsc.exe。 DLL 已使用 sRDI 專案 (https://github.com/monoxgas/sRDI) 轉換為 shellcode。啟用後，RdpThief 將每 5 秒取得一次進程列表，搜尋 mstsc.exe 並注入其中。

當攻擊者腳本載入到 Cobalt Strike 上時，將提供三個新指令：

• rdpthief_enable – 啟用新的 mstsc.exe 進程的心跳檢查並將其註入。
• rdpthief_disable – 停用新 mstsc.exe 的心跳檢查，但不會卸載已載入的 DLL。
• rdpthief_dump – 列印提取的憑證（如果有）。

示範影片：https://www.youtube.com/watch?v=F77eODhkJ80

更多詳細資訊請見：https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/