WTSSessionHijacker
RDP/WTS-Sitzungs-Hijacking-Tool mithilfe der Windows Terminal Services API (wtsapi32.dll). Zählt alle RDP-Sitzungen auf (WTSEnumerateSessionsW), stiehlt Benutzertokens (WTSQueryUserToken), führt eine anmeldeinformationsbasierte Anmeldung durch (LogonUserW) und eskaliert über authz.dll (AuthzAddSidsToContext). Löscht Ereignisprotokolle (ClearEventLogA) und kann Dienste steuern (ControlService). 300 KB verschlüsselte .rsrc-Nutzlast, bei Runt entschlüsselt
Bedrohungsprofil
Typ
RAT
ProgrammierspracheC/C++
C2-Protokollcustom
Erstmals gesehen2024
Ziele
Kuresel/Kurumsal
Zweck / Fähigkeiten
- RDP-Hijack/Lateralbewegung
Für diese Familie wurden noch keine C2-Server identifiziert.
Forschungsberichte (1)
WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek
WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.
Bericht lesen →