WTSSessionHijacker
Herramienta de secuestro de sesiones RDP/WTS que utiliza la API de Servicios de Terminal Server de Windows (wtsapi32.dll). Enumera todas las sesiones RDP (WTSEnumerateSessionsW), roba tokens de usuario (WTSQueryUserToken), realiza un inicio de sesión basado en credenciales (LogonUserW) y escala a través de authz.dll (AuthzAddSidsToContext). Borra registros de eventos (ClearEventLogA) y puede controlar servicios (ControlService). Carga útil .rsrc cifrada de 300 KB descifrada en runt
Perfil de amenaza
Tipo
RAT
Lenguaje de programaciónC/C++
Protocolo C2custom
Primera detección2024
Objetivos
Kuresel/Kurumsal
Propósito / Capacidades
- Secuestro de RDP/movimiento lateral
Aún no se han identificado servidores C2 para esta familia.
Informes de investigación (1)
WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek
WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.
Leer informe →