Pesquisadores de cibersegurança desenvolveram uma técnica forense inovadora capaz de rastrear invasores sofisticados que utilizam o Remote Desktop Protocol (RDP) para movimentação lateral em redes corporativas. A abordagem transforma ações aparentemente invisíveis em rastros digitais detalhados, dando às equipes de resposta a incidentes uma visão sem precedentes das atividades maliciosas. A análise começa pelos logs de eventos do Windows, com destaque para os IDs 4624 (logons bem-sucedidos) e 4625 (falhas de logon) no Security Log.
Padrões únicos do Network Level Authentication (NLA) revelam tentativas de conexão e invasões. Além disso, eventos como o ID 1149 no log TerminalServices-RemoteConnectionManager e os IDs 21 e 24 no TerminalServices-LocalSessionManager permitem reconstruir cronogramas precisos das sessões RDP. Um dos avanços mais impactantes é a análise dos arquivos de cache de bitmap RDP. Armazenados em AppData\Local\Microsoft\Terminal Server Client\Cache, esses arquivos contêm milhares de fragmentos de 64×64 pixels que, quando reunidos com ferramentas como BMC-Tools e RdpCacheStitcher, revelam telas visualizadas pelos invasores.
Foram recuperados nomes de arquivos, janelas de aplicativos e até comandos do PowerShell utilizados para roubo de credenciais. Complementando a análise, técnicas avançadas permitem extrair chaves de sessão da memória, descriptografando o tráfego RDP e possibilitando a reprodução completa das sessões com o RDP-Replay. Dados da área de transferência, artefatos de processos e entradas no registro expõem históricos de conexão e senhas que os hackers não conseguem apagar facilmente. Essa abordagem transforma o RDP de uma ferramenta de ataque silenciosa em uma fonte valiosa de evidências, fortalecendo a capacidade de investigação e resposta a ataques.
