WTSSessionHijacker

Windows ターミナル サービス API (wtsapi32.dll) を使用した RDP/WTS セッション ハイジャック ツール。すべての RDP セッションを列挙し (WTSEnumerateSessionsW)、ユーザー トークンを盗み (WTSQueryUserToken)、資格情報ベースのログオンを実行し (LogonUserW)、authz.dll 経由でエスカレーションします (AuthzAddSidsToContext)。イベント ログをクリアし (ClearEventLogA)、サービスを制御できます (ControlService)。 300KBの暗号化された.rsrcペイロードが実行時に復号化されました

脅威プロファイル
タイプ RAT
プログラミング言語C/C++
C2プロトコルcustom
初回検出2024
標的 Kuresel/Kurumsal
目的 / 機能
  • RDP ハイジャック/横移動
このファミリーのC2サーバーはまだ確認されていません。

リサーチレポート (1)

WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek

WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.

レポートを読む →