Hijacking RDP: Remote Desktop Protocol Hijacking (T1563.002)

Per replicare questo attacco in laboratorio, inizia identificando le sessioni RDP disponibili. Su Windows, usa query user o qwinsta per elencare tutte le sessioni attive e disconnesse. Noterai colonne come SESSIONNAME, USERNAME, ID e STATE che ti forniranno le informazioni necessarie.

Il cuore dell'attacco risiede nell'ottenere privilegi SYSTEM. Puoi utilizzare PsExec di Sysinternals con il flag -s: psexec -s -i cmd.exe. Una volta elevato a SYSTEM, il comando tscon [ID_SESSIONE] /dest:console ti permetterà di assumere il controllo della sessione target senza richieste di autenticazione.

Per automatizzare il processo, tools come Redsnarf su Kali Linux includono moduli specifici per l'RDP hijacking. Il comando redsnarf -H [target_IP] --rdp_check enumera le sessioni disponibili, mentre --rdp_hijack [session_id] esegue il takeover.

Un approccio alternativo sfrutta la creazione di un servizio temporaneo. Crea un batch file che esegue tscon e registralo come servizio: sc create hijack binpath= "cmd.exe /c tscon [ID] /dest:console". Avvia il servizio con sc start hijack per eseguire il comando con privilegi SYSTEM.

Per testare la persistenza, disconnetti (non chiudere) una sessione RDP e nota come rimane vulnerabile all'hijacking. Questo simula scenari reali dove gli utenti disconnettono le sessioni invece di effettuare il logout completo. La combinazione di questa tecnica con Pass-the-Hash o Golden Ticket amplifica drasticamente le capacità di movimento laterale in Active Directory.

La detection efficace richiede correlazione tra multiple fonti di log. Il pattern chiave da monitorare è l'esecuzione di tscon.exe con privilegi SYSTEM, catturabile tramite Sysmon EventID 1 o Windows Security EventID 4688. Configura una regola che triggera quando ProcessName contiene "tscon.exe" e User è "NT AUTHORITY\SYSTEM".

Un indicatore comportamentale critico è la discrepanza tra eventi di logon e riassegnazioni di sessione. Monitora Windows Security EventID 4624 (logon riuscito) correlato temporalmente con EventID 4648 (logon esplicito). Se vedi una sessione RDP (LogonType 10) che cambia proprietario senza un corrispondente evento di autenticazione, hai probabilmente individuato un hijacking.

Per ridurre i falsi positivi, implementa una whitelist di account autorizzati ad utilizzare RDP tramite Group Policy. Qualsiasi attività RDP da account non presenti nella whitelist dovrebbe generare un alert ad alta priorità. Monitora anche l'accesso al gruppo "Remote Desktop Users" per identificare modifiche non autorizzate.

Un approccio avanzato sfrutta la correlazione temporale: se un processo viene spawned nel contesto di una sessione RDP entro 60 secondi dal cambio di proprietario della sessione stessa, incrementa il confidence score dell'alert. Questo pattern è raramente osservato in attività legittime.

La configurazione di Windows Event Forwarding (WEF) è cruciale per centralizzare i log RDP da tutti gli endpoint. Assicurati di includere i canali Microsoft-Windows-TerminalServices-LocalSessionManager/Operational e Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational nel tuo schema di collection.

L'analisi forense dell'RDP hijacking inizia dai registry artifacts. La chiave HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations contiene metadata delle sessioni RDP, inclusi timestamp di connessione e disconnessione. Confronta questi dati con gli eventi nel Security log per identificare anomalie temporali.

I file di prefetch di Windows (C:\Windows\Prefetch\TSCON.EXE-.pf*) documentano ogni esecuzione del tool, includendo timestamp e file acceduti. La presenza di questi artifacts su sistemi dove tscon non dovrebbe essere utilizzato costituisce un forte indicatore di compromissione.

Per ricostruire la sequenza completa, esamina %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx. Gli EventID 21 (connessione riuscita) e 24 (disconnessione) ti permetteranno di mappare l'intera vita della sessione hijacked.

Su Linux, se l'attaccante ha utilizzato xrdp o tecniche simili, cerca tracce in /var/log/xrdp.log e /var/log/xrdp-sesman.log. Pattern anomali includono sessioni che cambiano UID senza corrispondenti eventi di autenticazione in /var/log/auth.log.

La timeline reconstruction dovrebbe includere l'analisi dei processi eseguiti nella sessione compromessa. Il tool Timeline Explorer con output di tools come KAPE può visualizzare efficacemente la sovrapposizione tra attività legittime dell'utente e azioni dell'attaccante post-hijacking.

Axiom rimane l'unico gruppo APT documentato che utilizza sistematicamente questa tecnica. Il loro modus operandi prevede l'integrazione dell'RDP hijacking in toolkit RAT personalizzati, permettendo operazioni hands-on-keyboard prolungate mascherandosi dietro sessioni legittime.

Il pattern geografico mostra una prevalenza di questa tecnica in campagne originate dalla regione Asia-Pacifico, con target primari nel settore difesa e manifatturiero high-tech. La sovrapposizione di tool con Winnti Group suggerisce possibili condivisioni di TTP o infrastrutture comuni, anche se i due gruppi mantengono profili operativi distinti.

L'evoluzione della tecnica mostra una tendenza verso l'automazione. Mentre inizialmente richiedeva intervento manuale, versioni moderne includono capability di enumerazione automatica delle sessioni e selezione intelligente di target high-value basata su privilegi e activity pattern.

La correlazione con altre tecniche mostra che l'RDP hijacking viene tipicamente preceduto da T1003 (Credential Dumping) e seguito da T1018 (Remote System Discovery). Questo pattern suggerisce che gli attaccanti utilizzano la tecnica come ponte per espandere l'accesso dopo aver ottenuto un foothold iniziale.

I trend emergenti includono l'integrazione con ransomware-as-a-service (RaaS) e l'utilizzo in campagne di cryptojacking dove la persistenza a lungo termine è prioritaria. L'adozione da parte di WannaCry potrebbe ispirare futuri ransomware a implementare capacità simili per massimizzare l'impatto.

Framework MITRE ATT&CK documenta questa tecnica come T1563.002 con riferimenti a campagne Axiom e implementazioni WannaCry. Detection analytics includono DET0588 per Windows environments. Risorse aggiuntive: RDP Hijacking Medium, Kali Redsnarf documentation, Windows RDP Sessions configuration guides.