det0588-detection-fo-remote-service-session-hijacking-for-rdp

# DET0588 — Detection fo Remote Service Session Hijacking for RDP. ## Descrição O hijacking de sessão RDP ([[T1563.002 - Remote Service Session Hijacking RDP Hijacking|T1563.002]]) é uma técnica de movimentação lateral que permite a um adversário com privilégios SYSTEM em um servidor assumir sessões RDP desconectadas de outros usuários sem precisar de suas credenciais. O utilitário `tscon.exe` (parte do Windows) permite conectar a uma sessão RDP usando apenas o ID da sessão, e quando executado via `SYSTEM`, não exige senha. Isso permite que um adversário navegue lateralmente para a sessão de um administrador desconectado e acesse recursos com suas permissões. A técnica é especialmente eficaz em servidores de terminal e jump servers onde múltiplos administradores mantêm sessões RDP simultâneas ou desconectadas. O adversário que comprometeu um único servidor com SYSTEM pode escalar privilégios horizontalmente para outras contas ao assumir suas sessões ativas. Grupos de pós-comprometimento como [[g0046-fin7]] e operadores de ransomware utilizam essa técnica para acessar sistemas adicionais sem gerar eventos de autenticação adicionais. A detecção combina monitoramento do uso de `tscon.exe` com argumentos de ID de sessão, eventos de conexão de sessão RDP (Event ID 25 — Remote Desktop Services: Session reconnection succeeded) sem eventos de autenticação correspondentes (4624), e anomalias na auditoria de sessão de terminal (Event ID 4778 — sessão reconectada) por usuário diferente do dono original. ## Indicadores de Detecção - `tscon.exe <session_id> /dest:console` executado por processo com contexto SYSTEM - Event ID 25 (reconexão RDP) sem Event ID 4624 (logon) correspondente - Event ID 4778 (sessão reconectada) com usuário diferente do que estabeleceu a sessão originalmente - `sc.exe creaté` com binpath `tscon.exe` como serviço temporário (técnica clássica de escalonamento) - Acesso a recursos de outro usuário em servidor de terminal logo após reconexão de sessão - `qwinsta` ou `query session` executado por processo suspeito antes de tscon ## Técnicas Relacionadas - [[T1563.002-remote-service-session-hijacking-rdp-hijacking|T1563.002 — RDP Hijacking]] - [[t1563-remote-service-session-hijacking|T1563 — Remote Service Session Hijacking]] - [[T1021.001-remote-services-remote-desktop-protocol|T1021.001 — Remote Desktop Protocol]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] ## Analytics Relacionadas - [[an1620-analytic-1620|AN1620 — Analytic 1620]] --- *Fonte: [MITRE ATT&CK — DET0588](https://attack.mitre.org/detectionstrategies/DET0588)*