# T1563.002 - RDP Hijacking ## Descrição RDP Hijacking é uma técnica de [[lateral-movement|Movimento Lateral]] que permite a um adversário assumir o controle de uma sessão RDP ativa ou desconectada sem necessidade de credenciais adicionais. O Remote Desktop Protocol (RDP) é amplamente utilizado em ambientes corporativos brasileiros - especialmente em operações de suporte remoto, acesso a servidores Windows e infraestrutura de TI distribuída - tornando essa técnica particularmente relevante para o cenário LATAM. O ataque explora o componente nativo `tscon.exe` do Windows (Terminal Services Console), que permite reconectar sessões de terminal. Com privilégios `SYSTEM`, um atacante pode executar `tscon.exe [ID da sessão]` para assumir silenciosamente a sessão de outro usuário - **sem alertar a vítima e sem exigir senha**. Sessões desconectadas (estado "Disconnected") são alvos especialmente atraentes: o usuário não está ativo, mas a sessão permanece autenticada e com tokens válidos. No contexto brasileiro, essa técnica é frequentemente observada após a exploração inicial de servidores de acesso remoto expostos - um vetor crítico em ambientes de médias e grandes empresas que mantêm servidores Windows acessíveis via RDP na internet. O abuso de sessões de Domain Admins desconectadas pode levar a escalada de privilégios combinada com [[t1018-remote-system-discovery|Remote System Discovery]], comprometendo toda a infraestrutura Active Directory. > **Técnica pai:** [[t1563-remote-service-session-hijacking|T1563 - Remote Service Session Hijacking]] --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Execução como SYSTEM] B --> C{{"T1563.002<br/>RDP Hijacking"}}:::highlight C --> D[Assumir sessão<br/>desconectada] C --> E[Assumir sessão<br/>ativa ativa] D --> F[Escalar para<br/>Domain Admin] E --> F F --> G([Comprometimento<br/>Total do AD]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` --- ## Como Funciona **Passo 1 - Obter privilégios SYSTEM** O adversário escala para o contexto `SYSTEM` no host comprometido, geralmente via exploração de serviço local, abuso de token ou ferramentas como `PsExec`. Com SYSTEM, é possível interagir com o serviço `TermService` sem restrições. **Passo 2 - Enumerar sessões ativas e desconectadas** Utilizando o comando nativo `query session` (ou `qwinsta`), o atacante lista todas as sessões RDP no sistema - identificando sessões no estado "Disc" (desconectadas) pertencentes a usuários privilegiados como administradores de domínio. **Passo 3 - Hijack via tscon.exe** Com o ID da sessão alvo em mãos, o adversário executa `tscon.exe [SessionID] /dest:console` ou cria um serviço temporário com `sc creaté` para executar `tscon.exe` no contexto SYSTEM. A sessão é transferida instantaneamente - sem prompt de senha, sem notificação ao usuário legítimo. --- ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Canal | Descrição | |----------|-------|-----------| | `4778` | Security | Sessão RDP reconectada - verificar se o mesmo usuário reconectou de IP diferente | | `4779` | Security | Sessão RDP desconectada - baseline para identificar sessões abandonadas | | `7045` | System | Novo serviço criado - alerta para serviços efêmeros executando `tscon.exe` | | `4688` | Security | Criação de processo - monitorar `tscon.exe` com argumentos de ID de sessão | | `4624` | Security | Logon bem-sucedido do tipo 10 (RemoteInteractive) sem correspondência de credencial | ### Sigma Rule ```yaml title: RDP Session Hijacking via tscon.exe id: b5d14f3e-4a92-41c7-9b2e-rdphijack001 status: stable description: > Detecta execução de tscon.exe com argumento de ID de sessão numérico, indicador de possível RDP Hijacking via Terminal Services Console. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\tscon.exe' CommandLine|re: 'tscon\.exe\s+\d+' filter_legitimate: ParentImage|endswith: - '\mstsc.exe' - '\rdpclip.exe' condition: selection and not filter_legitimate falsepositives: - Ferramentas legítimas de gerenciamento de RDS em ambientes controlados - Scripts administrativos de reconexão de sessão aprovados level: high tags: - attack.lateral_movement - attack.t1563.002 fields: - CommandLine - ParentImage - User - ComputerName ``` --- ## Mitigação | ID | Mitigação | Aplicação em Organizações Brasileiras | |----|-----------|--------------------------------------| | [[m1026-privileged-account-management\|M1026]] | Privileged Account Management | Implementar PAM (CyberArk, BeyondTrust) - prática ainda incipiente em médias empresas BR | | [[m1018-user-account-management\|M1018]] | User Account Management | Configurar timeout agressivo para sessões RDP desconectadas (máx. 15 min) via GPO | | [[m1035-limit-access-to-resource-over-network\|M1035]] | Limit Access to Resource Over Network | Restringir RDP a hosts de jump server (bastion) - nunca expor porta 3389 diretamente | | [[m1030-network-segmentation\|M1030]] | Network Segmentation | Isolar servidores de produção em VLAN separada com ACL bloqueando RDP lateral | | [[m1028-operating-system-configuration\|M1028]] | OS Configuration | Habilitar NLA (Network Level Authentication) - obrigatório em ambientes regulados (LGPD, PCI-DSS) | | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature | Desabilitar RDP em servidores onde não é necessário; usar WinRM como alternativa | | [[m1047-audit\|M1047]] | Audit | Auditar regularmente sessões ativas e desconectadas; alertar sobre reconexões de IPs distintos | --- ## Threat Actors que Usam ### [[g0001-axiom|Axiom]] Grupo de espionagem cibernética de origem chinesa com histórico de comprometimento de longo prazo em redes corporativas e governamentais. O Axiom utiliza RDP Hijacking como técnica de persistência silenciosa dentro de redes já comprometidas, assumindo sessões de administradores para se mover lateralmente sem gerar novos eventos de autenticação. Embora sem casos públicos confirmados no Brasil, o grupo tem como alvo setores de tecnologia, governo e telecomúnicações - todos representativos no cenário LATAM. --- ## Software Associado | Software | Tipo | Contexto de Uso | |----------|------|-----------------| | [[wannacry\|WannaCry]] | Worm/Ransomware | Usou RDP como vetor de propagação lateral em redes não segmentadas; altamente impactante no Brasil em 2017 | | `tscon.exe` | Binário nativo Windows (LOLBAS) | Ferramenta legítima abusada - presente em todos os Windows Server; sem necessidade de download | | `sc.exe` | Binário nativo Windows | Usado para criar serviços efêmeros que executam `tscon.exe` no contexto SYSTEM | --- *Fonte: [MITRE ATT&CK - T1563.002](https://attack.mitre.org/techniques/T1563/002)*