WTSSessionHijacker

Outil de piratage de session RDP/WTS utilisant l'API des services Terminal Server de Windows (wtsapi32.dll). Énumère toutes les sessions RDP (WTSEnumerateSessionsW), vole les jetons utilisateur (WTSQueryUserToken), effectue une connexion basée sur les informations d'identification (LogonUserW) et escalade via authz.dll (AuthzAddSidsToContext). Efface les journaux d'événements (ClearEventLogA) et peut contrôler les services (ControlService). Charge utile .rsrc chiffrée de 300 Ko déchiffrée à l'exécution

Profil de menace
Type RAT
Langage de programmationC/C++
Protocole C2custom
Première détection2024
Cibles Kuresel/Kurumsal
Objectif / Capacités
  • Détournement RDP/Mouvement latéral
Aucun serveur C2 n'a encore été identifié pour cette famille.

Rapports de recherche (1)

Élevé

WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek

WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.

Lire le rapport →