Cộng đồng nghiên cứu an ninh mạng đã công bố các kỹ thuật tiên tiến để theo dõi những kẻ tấn công sử dụng Giao thức Máy tính Từ xa (RDP) nhằm di chuyển ngang trong các mạng bị xâm nhập. Phương pháp này biến chính công nghệ mà tin tặc dựa vào thành một dấu vân tay kỹ thuật số, tiết lộ mọi động thái của chúng.
Phân tích Cơ chế Bộ đệm Bitmap của RDP
Đột phá này tập trung vào việc phân tích cơ chế lưu trữ bộ đệm bitmap của RDP. Cơ chế này được thiết kế để cải thiện hiệu suất kết nối qua mạng có băng thông thấp bằng cách lưu trữ các mảnh ảnh màn hình từ xa dưới dạng các ô hình vuông kích thước 64×64 pixel. Những ô bitmap này được lưu trữ trong các tệp bộ đệm tại đường dẫn AppData\Local\Microsoft\Terminal Server Client\Cache\.
Các tệp này, thường có phần mở rộng là .BMC hoặc được đặt tên theo định dạng Cache**.bin, ban đầu chỉ nhằm mục đích tối ưu hóa trải nghiệm người dùng. Tuy nhiên, chúng đã trở thành một kho tàng bằng chứng pháp lý kỹ thuật số vô giá, tiết lộ chính xác những gì kẻ tấn công đã xem hoặc tương tác trên màn hình từ xa trong suốt phiên RDP của chúng. Bằng cách tái tạo lại trình tự các ô bitmap này, điều tra viên có thể dựng lại hoạt động trên màn hình của kẻ tấn công, cung cấp cái nhìn chi tiết về các tệp, ứng dụng hoặc dữ liệu mà chúng đã truy cập.
Sử dụng Nhật ký Sự kiện Windows trong Điều tra RDP
Nhật ký Sự kiện Windows (Windows Event Logs) cung cấp nền tảng vững chắc cho bất kỳ cuộc điều tra RDP nào.
Các Mã Sự kiện Quan trọng
- Event ID 4624: Cho biết các lần đăng nhập thành công vào hệ thống. Đây là một chỉ báo quan trọng về thời điểm và cách thức một tài khoản được sử dụng để truy cập từ xa.
- Event ID 4625: Ghi lại các nỗ lực đăng nhập thất bại. Những sự kiện này có thể chỉ ra các cuộc tấn công dò mật khẩu (brute-force) hoặc các nỗ lực truy cập trái phép.
Thách thức từ Network Level Authentication (NLA)
Tuy nhiên, Network Level Authentication (NLA) gây ra một thách thức pháp lý. Khi NLA được kích hoạt, các kết nối RDP ban đầu xuất hiện dưới dạng Logon Type 3 (Network) thay vì loại dự kiến là Type 10 (RemoteInteractive). Điều này có thể gây nhầm lẫn cho điều tra viên, khiến họ khó phân biệt giữa một phiên RDP tương tác thực sự và một kết nối mạng thông thường ở giai đoạn đầu. Việc hiểu rõ sự khác biệt này là rất quan trọng để tránh bỏ sót các dấu vết quan trọng.
Nhật ký Xác nhận Phiên
- Nhật ký TerminalServices-RemoteConnectionManager ghi lại Event ID 1149 khi người dùng hoặc kẻ tấn công đạt đến màn hình đăng nhập RDP. Sự kiện này xác nhận rằng một kết nối đến máy chủ đã được thiết lập, ngay cả trước khi xác thực hoàn tất.
- Trong khi đó, Event 21 trong nhật ký TerminalServices-LocalSessionManager xác nhận việc thiết lập phiên thực tế sau khi đăng nhập thành công. Các tạo tác này vẫn tồn tại ngay cả khi kẻ tấn công cố gắng xóa dấu vết, cung cấp bằng chứng bền vững về sự hiện diện của chúng trên hệ thống.
Các Tạo tác Phía Client Tiết lộ Đường dẫn Tấn công
Bên cạnh các dấu vết trên máy chủ mục tiêu, các tạo tác còn sót lại trên máy nguồn (máy của kẻ tấn công hoặc máy bị lợi dụng làm bàn đạp) cũng cung cấp thông tin quý giá về đường dẫn tấn công.
Khóa Registry
Trên máy nguồn, điều tra viên có thể kiểm tra khóa registry HKCU\Software\Microsoft\Terminal Server Client\Servers để khám phá các mục tiêu RDP đã được truy cập gần đây. Khóa này lưu trữ danh sách các máy chủ RDP mà người dùng đã kết nối, bao gồm địa chỉ IP hoặc tên miền.
Jump Lists của mstsc.exe
Jump Lists cho chương trình mstsc.exe (Microsoft Terminal Services Client) được lưu trữ tại đường dẫn \Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Các tệp này duy trì lịch sử kết nối RDP và thường tồn tại ngay cả sau các nỗ lực dọn dẹp cơ bản, cung cấp bằng chứng về các mục tiêu RDP đã được truy cập.
Tệp Default.rdp
Tệp Default.rdp, thường nằm trong thư mục Documents của người dùng, chứa các chi tiết cấu hình dạng văn bản thuần túy cho phiên RDP gần nhất. Thông tin này có thể bao gồm địa chỉ IP của mục tiêu, tên người dùng, và các cài đặt kết nối khác, cung cấp thông tin trực tiếp về điểm đến của kẻ tấn công.
Công cụ Chuyên dụng trong Phân tích Pháp lý RDP
Sự phức tạp của việc tái tạo dữ liệu từ bộ đệm bitmap đòi hỏi các công cụ chuyên biệt để hỗ trợ điều tra.
BMC-Tools và RdpCacheStitcher
Các công cụ như BMC-Tools của ANSSI (Cơ quan An ninh Hệ thống Thông tin Quốc gia Pháp) và RdpCacheStitcher cho phép điều tra viên tái tạo hoạt động trên màn hình của kẻ tấn công từ các mảnh bitmap được lưu trong bộ đệm. Những công cụ này xử lý hàng ngàn ô hình ảnh nhỏ, ghép nối chúng lại để tạo ra các ảnh chụp màn hình hoặc video về những gì kẻ tấn công đã nhìn thấy và làm.
Trong một trường hợp được ghi nhận, các nhà phân tích đã phục hồi toàn bộ một tài liệu nhạy cảm được xem bởi một nhóm Advanced Persistent Threat (APT) bằng cách tỉ mỉ lắp ráp hàng ngàn ô hình ảnh. Thành công này nhấn mạnh tiềm năng của phân tích bộ đệm bitmap trong việc thu thập bằng chứng cấp cao.
Phân tích Pháp lý Clipboard qua rdpclip.exe
Quá trình rdpclip.exe chịu trách nhiệm đồng bộ hóa clipboard giữa các phiên cục bộ và từ xa. Điều này có nghĩa là bất kỳ dữ liệu nào được sao chép vào clipboard trên máy chủ từ xa (ví dụ: mật khẩu, lệnh, văn bản nhạy cảm) có thể được truyền về máy cục bộ của kẻ tấn công, và ngược lại.
Trích xuất Dữ liệu Clipboard
Tuy nhiên, một khía cạnh quan trọng là rdpclip.exe có thể giữ lại các mật khẩu và dữ liệu nhạy cảm đã được sao chép trong bộ nhớ của nó. Các công cụ phân tích pháp lý bộ nhớ như Volatility có khả năng trích xuất thông tin này từ ảnh chụp bộ nhớ (memory dump) của hệ thống. Bằng cách phân tích bộ nhớ của quá trình rdpclip.exe, điều tra viên có thể phát hiện các thông tin xác thực, lệnh thực thi, hoặc dữ liệu khác mà kẻ tấn công đã sao chép trong suốt phiên làm việc của chúng. Điều này cung cấp một nguồn bằng chứng quan trọng, đặc biệt khi kẻ tấn công đã xóa bỏ các dấu vết khác.
Dấu vết Kiên trì Bất chấp Nỗ lực Dọn dẹp
Ngay cả những kẻ tấn công tinh vi nhất, sử dụng các script dọn dẹp để xóa khóa registry, nhật ký sự kiện và các tệp bộ đệm, vẫn để lại dấu vết ở những nơi không ngờ tới.
Sự kiện Chuyển hướng Thiết bị
Các sự kiện chuyển hướng thiết bị (Device redirection events) là một ví dụ điển hình. Khi kẻ tấn công ánh xạ máy in hoặc ổ đĩa từ máy cục bộ của chúng sang máy chủ RDP bị xâm nhập, các sự kiện này được ghi lại. Các nhật ký này có thể tiết lộ mạng nguồn của kẻ tấn công thông qua tên máy in hoặc đường dẫn miền của các ổ đĩa được ánh xạ. Ví dụ, một tên máy in như “HP LaserJet on attacker-domain-controller” hoặc đường dẫn ổ đĩa mạng “\\attacker-file-server\share” có thể cung cấp manh mối trực tiếp về môi trường hoạt động của chúng.
Cách tiếp cận pháp lý toàn diện này biến RDP từ một công cụ ẩn mình của kẻ tấn công thành một đường dẫn kiểm toán chi tiết, cung cấp cho các nhà phân tích an ninh mạng một kho tàng thông tin để theo dõi và xác định các hoạt động độc hại.
