Saldırganların, bağlantılar sona erdikten çok sonra hassas bilgileri yeniden oluşturmak için Uzak Masaüstü Protokolü (RDP) oturumlarından unutulan yapıtlardan yararlandığı yeni bir teknik.
Bu teknik, ekran öğelerini yerel olarak küçük döşemeler olarak depolayan bir performans iyileştirme özelliği olan RDP bitmap önbelleğinden yararlanır. Statik öğeleri tekrar tekrar iletmek yerine önbelleğe alarak bağlantı hızını artırmak için tasarlanmış olsa da, bu önbelleğe alınmış kutucuklar oturumlar sona erdikten sonra da devam eder ve uzak etkinliklerin kasıtsız bir kaydını oluşturur.
Pen Test Partners, Cyber Security News’e yaptığı açıklamada, “RDP bitmap önbelleği, uzak masaüstü etkileşimlerine tanıklık ediyor ve geçmiş faaliyetler hakkında bilgi sağlıyor” dedi. “Bu tekniği özellikle tehlikeli kılan şey, saldırganların geleneksel günlük kaydı mekanizmaları devre dışı bırakıldığında bile RDP oturumları sırasında girilen kimlik bilgilerini görüntüleyebilmesidir”.
RDP Bitmap Önbellek Tekniği ile Sızan Veriler
Yakın tarihli bir vaka çalışmasında, Pen Test Partners, bir saldırganın Windows Olay Günlükleri, TerminalServices günlükleri ve Güvenlik olay günlükleri dahil olmak üzere geleneksel kanıtları kasıtlı olarak sildiği bir veri ihlalini araştırdı. Bu anti-adli önlemlere rağmen, araştırmacılar RDP bitmap önbellek klasörünün bozulmadan kaldığını keşfettiler.
Araştırmacılar, BMC-Tools ve RdpCacheStitcher gibi özel araçları kullanarak, güvenliği ihlal edilmiş sistemden 8.000’den fazla bitmap önbellek dosyasını ayıkladılar ve yeniden oluşturdular.
Ortaya çıkan görüntüler, keşif araçlarının kanıtları, PowerShell komut dosyaları, kötü amaçlı yazılım uyarıları ve hatta parola yöneticisi pencerelerinden açığa çıkan kimlik bilgileri dahil olmak üzere saldırı hakkında kritik bilgileri ortaya çıkardı.
Pen Test Partners ekibi, “Yeniden yapılandırılmış döşemeler, erişilen uzak makinenin ana bilgisayar adını ortaya çıkardı ve bu da analizimizi ikincil bir ana bilgisayara döndürmemize izin verdi” dedi. Bu atılım, saldırganın izlerini gizleme girişimlerine rağmen tüm saldırı zincirinin yeniden yapılandırılmasına yardımcı oldu.
Güvenlik uzmanlarını endişelendiren şey, aynı adli bilişim tekniklerinin şimdi saldırganlar tarafından silahlandırılmasıdır. Bu işlem, Terminal Server İstemci Önbelleği dizininden önbellek dosyalarını ayıklamayı ve anlamlı ekran içeriğini yeniden birleştirmek için görsel yerleştirme buluşsal yöntemlerini kullanmayı içerir.
BMC-Tools, önbellek dosyalarından tek tek döşemeleri ayıklarken, RdpCacheStitcher, tutarlı görüntüleri yeniden oluşturmak için döşemeler arasındaki kenar desenlerini ve piksel benzerliklerini karşılaştıran yerleştirme algoritmalarına sahip bir grafik arabirim sağlar.
Kuruluşlara RDP oturumlarının gelişmiş izlemesini uygulamaları, bitmap önbelleklerini düzenli olarak temizlemeleri ve önbellek dizinlerine olağandışı erişimi algılayan otomatik araçları göz önünde bulundurmaları önerilir.
Güvenlik ekipleri, RDP önbellek analizini olay yanıtı playbook’larına da dahil etmelidir, çünkü bu yapıtlar geleneksel günlükler kullanılamadığında kritik kanıtlar sağlayabilir.
Uzaktan çalışma standart bir uygulama olmaya devam ettikçe, özellikle saldırganlar veri hırsızlığı için gözden kaçan özelliklerden yararlanmak için karmaşık yöntemler geliştirdikçe, RDP gibi teknolojilerin güvenlik etkilerini anlamak giderek daha önemli hale geliyor.
