WTSSessionHijacker

RDP/WTS-Sitzungs-Hijacking-Tool mithilfe der Windows Terminal Services API (wtsapi32.dll). Zählt alle RDP-Sitzungen auf (WTSEnumerateSessionsW), stiehlt Benutzertokens (WTSQueryUserToken), führt eine anmeldeinformationsbasierte Anmeldung durch (LogonUserW) und eskaliert über authz.dll (AuthzAddSidsToContext). Löscht Ereignisprotokolle (ClearEventLogA) und kann Dienste steuern (ControlService). 300 KB verschlüsselte .rsrc-Nutzlast, bei Runt entschlüsselt

Bedrohungsprofil
Typ RAT
ProgrammierspracheC/C++
C2-Protokollcustom
Erstmals gesehen2024
Ziele Kuresel/Kurumsal
Zweck / Fähigkeiten
  • RDP-Hijack/Lateralbewegung
Für diese Familie wurden noch keine C2-Server identifiziert.

Forschungsberichte (1)

Hoch

WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek

WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.

Bericht lesen →