WTSSessionHijacker
"Windows 터미널 서비스 API(wtsapi32.dll)를 사용하는 RDP/WTS 세션 하이재킹 도구입니다. 모든 RDP 세션을 열거하고(WTSEnumerateSessionsW), 사용자 토큰을 훔치고(WTSQueryUserToken), 자격 증명 기반 로그온을 수행하고(LogonUserW), authz.dll(AuthzAddSidsToContext)을 통해 에스컬레이션합니다. 이벤트 로그(ClearEventLogA)를 지우고 서비스(ControlService)를 제어할 수 있습니다. 런트에서 해독된 300KB 암호화된 .rsrc 페이로드"
위협 프로필
유형
RAT
프로그래밍 언어C/C++
C2 프로토콜custom
첫 감지2024
대상
Kuresel/Kurumsal
목적 / 기능
- "RDP 하이재킹/측면 이동"
이 패밀리에 대해 아직 확인된 C2 서버가 없습니다.
연구 보고서 (1)
WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek
WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.
보고서 읽기 →