WTSSessionHijacker

Ferramenta de sequestro de sessão RDP/WTS usando API de serviços de terminal do Windows (wtsapi32.dll). Enumera todas as sessões RDP (WTSEnumerateSessionsW), rouba tokens de usuário (WTSQueryUserToken), executa logon baseado em credencial (LogonUserW) e escala via authz.dll (AuthzAddSidsToContext). Limpa logs de eventos (ClearEventLogA) e pode controlar serviços (ControlService). Carga útil .rsrc criptografada de 300 KB descriptografada em runt

Perfil de ameaça
Tipo RAT
Linguagem de programaçãoC/C++
Protocolo C2custom
Primeira detecção2024
Alvos Kuresel/Kurumsal
Propósito / Capacidades
  • Sequestro RDP/Movimento Lateral
Nenhum servidor C2 foi identificado para esta família ainda.

Relatórios de pesquisa (1)

Alto

WTSSessionHijacker 068af801 -- WTSEnumerateSessionsW WTSQueryUserToken LogonUserW AuthzAddSidsToContext ClearEventLogA ControlService RDP Token Theft 300KB Encrypted rsrc | Yuksek

WTSSessionHijacker 068af801 PE32 x86 396KB. WTSEnumerateSessionsW WTSQueryUserToken. LogonUserW + AuthzAddSidsToContext SID eskalasyon. ClearEventLogA. 300KB sifreli rsrc payload.

Ler relatório →