Dirottamento della Sessione RDP: Remote Service Session Hijacking: RDP Hijacking (T1563.002)

La catena d'attacco per simulare un RDP Hijacking in laboratorio è sorprendentemente lineare, ma richiede una precondizione fondamentale: privilegi SYSTEM sull'host bersaglio. Parti da qui.

Il primo passo è enumerare le sessioni attive e disconnesse sul sistema. Da un prompt elevato, il comando nativo è immediato:

query user

L'output mostra username, ID sessione, stato (Active/Disc) e tempo di inattività. Annota il Session ID della sessione target — tipicamente quella di un account con privilegi superiori ai tuoi.

Per ottenere il contesto SYSTEM necessario a eseguire tscon.exe senza prompt, la strada classica passa dalla creazione di un servizio Windows. Questo approccio funziona perché i servizi Windows vengono eseguiti come SYSTEM per default:

sc create hijack binPath= "cmd.exe /k tscon 2 /dest:rdp-tcp#0" net start hijack

In questo esempio, 2 è il Session ID da dirottare e rdp-tcp#0 è il nome della sessione di destinazione (la tua). Dopo l'esecuzione, la sessione della vittima viene trasferita alla tua console RDP, completa di desktop, applicazioni aperte e token di sicurezza.

Un'alternativa più pulita per il contesto SYSTEM sfrutta PsExec (Sysinternals, gratuito):

PsExec.exe -s -i cmd.exe

Da questa shell SYSTEM puoi poi lanciare direttamente tscon [ID] /dest:[sessione] senza creare servizi persistenti.

Per ambienti red team strutturati, Mimikatz (open source) offre la funzionalità ts::sessions per enumerare le sessioni e token::elevate per ottenere il contesto SYSTEM, concatenando il tutto in un'unica sequenza operativa. Anche Cobalt Strike (a pagamento) integra il dirottamento RDP tramite il suo modulo di lateral movement.

Alcune raccomandazioni per il lab. Documenta il Session ID originale prima del dirottamento per poter ripristinare lo stato. Verifica che la GPO del dominio non limiti già il timeout delle sessioni disconnesse, altrimenti la finestra di opportunità potrebbe essere troppo breve per il test. Infine, esegui il cleanup rimuovendo il servizio creato:

sc delete hijack

Testa anche lo scenario con sessioni disconnesse: sono il bersaglio più realistico, perché gli amministratori spesso chiudono il client RDP senza fare logoff, lasciando sessioni orfane con token attivi per ore o giorni.

La detection dell'RDP Hijacking ruota attorno a un singolo artefatto primario: l'esecuzione anomala di tscon.exe. Ma fermarsi lì significa costruire un alert fragile. Serve una correlazione multi-sorgente che consideri il contesto in cui quel binario viene invocato.

Le log source critiche sono tre: Security Event Log, Sysmon e System Event Log. Nel Security log, concentrati sull'EventCode 4778 (Session Reconnected) e 4779 (Session Disconnected). Un pattern sospetto è la riconnessione di una sessione da parte di un account diverso dall'owner originale, oppure una riconnessione che non è preceduta da un evento di autenticazione 4624 di tipo 10 (RemoteInteractive). La sessione appare "dal nulla", senza logon corrispondente.

Sysmon fornisce il layer più ricco. L'EventCode 1 (Process Creation) che mostra tscon.exe come immagine del processo, soprattutto se il processo padre è cmd.exe, services.exe o powershell.exe, è un indicatore ad alta fedeltà. Ancora più rivelatore è quando il processo padre è un servizio appena creato — correla con l'EventCode 7045 del System log (nuovo servizio installato) che presenta un binPath contenente riferimenti a tscon.

Per ridurre i falsi positivi, implementa tre filtri di tuning:

• ExpectedRDPHosts: una whitelist di sistemi e account autorizzati all'uso di RDP. Qualunque deviazione diventa anomalia.
• TimeWindow: una finestra temporale per correlare l'evento di logon con la riassegnazione della sessione e l'esecuzione di processi nel contesto dirottato. Sessioni che cambiano proprietario senza logon entro 5 secondi sono altamente sospette.
• SessionIDMapping: una mappatura ambiente-specifica tra account utente e Session ID. Incongruenze tra l'ID sessione e l'utente atteso segnalano un possibile hijack.

Sul piano preventivo, le GPO sono il primo strumento. Configura il timeout delle sessioni disconnesse al minimo operativamente accettabile — sessioni che scadono in 15 minuti invece di restare attive per ore riducono drasticamente la finestra di attacco. Imponi l'uso di un RDP Gateway per centralizzare e filtrare il traffico RDP, applicando regole di Network Level Authentication (NLA) obbligatorie.

Il monitoraggio del traffico di rete completa il quadro: connessioni RDP tra segmenti non previsti dalla policy — rilevabili con regole firewall o sensori IDS — indicano lateral movement in corso. La segmentazione di rete con regole che bloccano la porta 3389 tra zone di sicurezza diverse è una mitigazione strutturale che rende l'hijacking significativamente più difficile.

L'analisi forense di un RDP Hijacking richiede la ricostruzione di una sequenza temporale precisa che leghi tre momenti distinti: l'ottenimento dei privilegi SYSTEM, l'esecuzione del dirottamento e l'attività post-hijack nella sessione rubata.

Parti dal System Event Log. L'EventCode 7045 registra l'installazione di nuovi servizi: cerca entry il cui ServiceFileName contenga riferimenti a tscon.exe o a pattern come cmd.exe /k tscon. Questo artefatto è la firma più solida della tecnica nella variante che usa la creazione di servizi. Annota il timestamp esatto: tutto ciò che segue nella timeline è attività post-compromissione nel contesto della sessione dirottata.

Nel Security Event Log, la sequenza probatoria è composta da tre eventi. L'EventCode 4778 documenta la riconnessione della sessione e contiene il nome dell'host da cui proviene la riconnessione — se non corrisponde al client abituale dell'utente legittimo, hai un indicatore forte. L'assenza di un EventCode 4624 di tipo 10 immediatamente precedente è altrettanto significativa: il dirottamento bypassa l'autenticazione, quindi non genera un logon event tradizionale. Infine, l'EventCode 4779 sull'host originale mostra la disconnessione forzata della vittima.

Sysmon arricchisce l'analisi con granularità superiore. L'EventCode 1 cattura la process creation chain completa: processo padre, riga di comando, utente e integrità del token. Cerca processi figli di tscon.exe o processi avviati nel contesto di un utente diverso da quello che ha originato la sessione. L'EventCode 3 (Network Connection) può rivelare connessioni RDP anomale sulla porta 3389 verso host interni non previsti.

Sul filesystem, verifica la directory C:\Windows\Temp e i profili utente per artefatti residui. Se l'attaccante ha usato PsExec per ottenere il contesto SYSTEM, troverai il servizio PSEXESVC nei log e potenzialmente il binario corrispondente nella directory di sistema. I file prefetch relativi a tscon.exe — in C:\Windows\Prefetch\TSCON.EXE-*.pf — forniscono timestamp di esecuzione aggiuntivi e, attraverso tool come PECmd (open source, di Eric Zimmerman), puoi estrarre i file e le directory referenziati durante l'esecuzione.

Per la correlazione con il malware WannaCry, che enumerava le sessioni RDP attive per propagarsi, cerca pattern di esecuzione ripetuta del dirottamento su sessioni multiple in rapida successione — un comportamento automatizzato distinguibile dall'azione manuale di un operatore umano.

L'RDP Hijacking è una tecnica che si colloca all'intersezione tra semplicità operativa e impatto elevato. I dati disponibili collegano questa tecnica a un unico gruppo APT e a un malware noto, ma il profilo di utilizzo racconta una storia più articolata.

Axiom (G0001) è un gruppo con legami attribuiti alla Repubblica Popolare Cinese, storicamente focalizzato su operazioni di spionaggio a lungo termine. L'uso di strumenti di amministrazione remota, incluso RDP, si inserisce in un pattern operativo che privilegia la persistenza silenziosa e il movimento laterale tramite tool legittimi. La scelta di sfruttare funzionalità native di Windows — come tscon.exe — è coerente con la filosofia "living off the land" che riduce l'impronta forensica e complica la detection basata su signature. Per Axiom, il dirottamento RDP non è l'attacco principale ma un facilitatore: un mezzo per raggiungere account con accesso a proprietà intellettuale o dati strategici senza lasciare malware aggiuntivo.

Il secondo elemento nel dataset è WannaCry (S0366), il ransomware che nel 2017 ha causato danni stimati in miliardi di dollari a livello globale. L'integrazione dell'enumerazione delle sessioni RDP nel codice di WannaCry rappresenta un caso di utilizzo automatizzato della tecnica, dove il malware tentava di eseguire se stesso su ciascuna sessione remota identificata. Questo approccio massimizzava la propagazione all'interno di reti dove RDP era ampiamente utilizzato, trasformando ogni sessione attiva in un ulteriore vettore di infezione.

Il pattern geografico e settoriale emerge chiaramente. Axiom opera con obiettivi di intelligence strategica, tipicamente contro settori governativi, della difesa e tecnologici. WannaCry ha colpito indiscriminatamente, ma con impatto devastante su sanità (NHS britannico), trasporti e manifattura. Il denominatore comune è la pervasività di RDP negli ambienti enterprise: qualunque organizzazione che esponga sessioni RDP internamente — specialmente con sessioni disconnesse a lunga durata — presenta una superficie d'attacco per questa tecnica.

Le 7 mitigazioni documentate riflettono un approccio difensivo stratificato: dall'eliminazione del servizio RDP dove non necessario, alla segmentazione di rete che blocca il traffico sulla porta 3389 tra zone di sicurezza, fino alla gestione rigorosa degli account privilegiati e all'audit regolare del gruppo Remote Desktop Users. L'analista TI dovrebbe monitorare l'adozione di questa tecnica da parte di operatori ransomware, dove il dirottamento di sessioni privilegiate può accelerare drasticamente il tempo tra accesso iniziale e deployment del payload finale.

Framework MITRE ATT&CK v16 — Tecnica T1563.002 (RDP Hijacking), Tattica TA0008 (Lateral Movement). Gruppo G0001 (Axiom), Software S0366 (WannaCry). Mitigazioni M1035, M1030, M1028, M1018, M1047, M1042, M1026. Detection DET0588 / AN1620. Integrato con conoscenza professionale per tool e procedure operative.