WTSSessionHijacker
使用 Windows 终端服务 API (wtsapi32.dll) 的 RDP/WTS 会话劫持工具。枚举所有 RDP 会话 (WTSEnumerateSessionsW)、窃取用户令牌 (WTSQueryUserToken)、执行基于凭据的登录 (LogonUserW) 并通过 authz.dll (AuthzAddSidsToContext) 升级。清除事件日志 (ClearEventLogA) 并可以控制服务 (ControlService)。 300KB 加密 .rsrc 负载在 runt 时解密
威胁档案
类型
RAT
编程语言C/C++
C2协议custom
首次发现2024
目标
Kuresel/Kurumsal
用途 / 能力
- RDP 劫持/横向移动
尚未发现该家族的 C2 服务器。
研究报告 (1)
WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek
WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.
阅读报告 →