RdpThief

RdpThief dengan sendirinya adalah DLL mandiri yang ketika disuntikkan dalam proses mstsc.exe, akan melakukan pengaitan API, mengekstrak kredensial teks-jelas dan menyimpannya ke file.

Skrip agresor menyertainya, yang bertanggung jawab untuk mengelola status, memantau proses baru, dan memasukkan kode shell ke mstsc.exe. DLL telah diubah menjadi shellcode menggunakan proyek sRDI (https://github.com/monoxgas/sRDI). Saat diaktifkan, RdpThief akan mendapatkan daftar proses setiap 5 detik, mencari mstsc.exe, dan menyuntikkannya.

Saat skrip agresor dimuat di Cobalt Strike, tiga perintah baru akan tersedia:

• rdpthief_enable – Mengaktifkan pemeriksaan detak jantung dari proses mstsc.exe baru dan menyuntikkannya ke dalamnya.
• rdpthief_disable – Menonaktifkan pemeriksaan pendengaran mstsc.exe baru tetapi tidak akan membongkar DLL yang sudah dimuat.
• rdpthief_dump – Mencetak kredensial yang diekstraksi jika ada.

Video Demonstrasi : https://www.youtube.com/watch?v=F77eODhkJ80

Detail lebih lanjut dapat ditemukan di: https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/