Una nueva técnica para que los atacantes aprovechen los artefactos olvidados de las sesiones de protocolo de escritorio remoto (RDP) para reconstruir la información confidencial durante mucho tiempo después de que termine la conexión.
Esta técnica utiliza el caché de mapa de bits RDP. Esta es una función de optimización de rendimiento que guarda los elementos de pantalla localmente como mosaicos pequeños. Aunque están diseñados para aumentar la velocidad de conexión al almacenar en caché elementos estáticos en lugar de enviar repetidamente elementos estáticos, estos mosaicos almacenados en caché persisten después de que termina la sesión, creando un registro no intencionado de actividad remota.
“El RDP Bitmap Cache es testigo de la interacción remota de escritorio y proporciona información sobre actividades pasadas”, dijo Pen Test Partners a Cyber Security News. “Lo que hace que esta técnica sea particularmente peligrosa es que los atacantes pueden ver las credenciales ingresadas durante una sesión de RDP, incluso si los mecanismos de registro tradicionales están deshabilitados”.
Datos extraídos a través de la técnica de caché de mapa de bits RDP
En un estudio de caso reciente, Pentest Partners investigó violaciones de datos en las que los atacantes eliminaron intencionalmente evidencia tradicional como registros de eventos de Windows, registros de servicios terminales y registros de eventos de seguridad. A pesar de estas medidas anti-aplicación, los investigadores descubrieron que la carpeta de caché de mapa de bits RDP permaneció intacta.
Utilizando herramientas especializadas como Tools BMC y RDPCachestitcher, los investigadores extrajeron y reconstruyeron más de 8,000 archivos de caché de mapa de bits de sistemas comprometidos.
Las imágenes resultantes revelaron información importante sobre el ataque, incluidas las herramientas de reconocimiento, los scripts de PowerShell, las alertas de malware e incluso la evidencia de credenciales disponible públicamente de Windows de contraseñas.
“El mosaico reconstruido reveló el nombre de host de la máquina remota que se accede, permitiendo que el análisis pivote al host secundario”, explicó el equipo de Pen Test Partners. Este avance ayudó al atacante a reconstruir la cadena de ataque completo a pesar de los intentos de cubrir el camión.
Lo que se refiere a los expertos en seguridad es que los atacantes han armado la misma tecnología forense. Este proceso consiste en extraer archivos de caché del directorio de caché del cliente Terminal Server y volver a montar contenido de pantalla significativo utilizando Heuristics visuales de colocación.
BMC-Tools extrae mosaicos individuales de archivos de caché, mientras que RDPCachestitcher proporciona una interfaz gráfica con algoritmos de colocación que comparan patrones de borde y similitudes de píxeles entre los mosaicos para reproducir imágenes coherentes.
Se alienta a las organizaciones a considerar herramientas automatizadas que implementan un monitoreo extendido de las sesiones de RDP, borrar periódicamente el caché de mapa de bits y detectar un acceso anormal a los directorios de caché.
Además, los equipos de seguridad deben incorporar el análisis de caché RDP en sus libros de jugadas de respuesta a incidentes, ya que pueden proporcionar evidencia importante cuando los registros tradicionales no están disponibles.
A medida que el trabajo remoto continúa siendo una práctica estándar, se vuelve cada vez más importante comprender las implicaciones de seguridad de las tecnologías como el RDP, especialmente a medida que los atacantes desarrollan métodos sofisticados para aprovechar las características pasadas por alto para la eliminación de datos.
Obtenga cualquier prueba de 14 días hoy y proteja lo más importante.
