Техники: T1505 , T1505.001 , T1505.002 , T1505.003 , T1505.004 , T1505.005
Злоумышленники могут использовать компоненты служб терминалов для обеспечения постоянного доступа к системам. Службы терминалов Microsoft, переименованные в службы удаленных рабочих столов в некоторых ОС Windows Server с 2022 года, обеспечивают удаленные терминальные соединения с узлами.Службы терминалов позволяют серверам передавать полный интерактивный графический пользовательский интерфейс клиентам через RDP.(Цитата: Microsoft Remote Desktop Services)
Служба Windowsкоторые запускаются как "общий" процесс (например, svchost.exe), загружают DLL-файл службы, расположение которого хранится в записи реестра с именем ServiceDll.(Цитата: Microsoft System Services Fundamentals) Файл termsrv.dll, обычно хранящийся в `%SystemRoot%\System32\`, является значением по умолчанию ServiceDll для Terminal Services в `HKLM\System\CurrentControlSet\services\TermService\Parameters\`.
Злоумышленники могут модифицировать и/или заменить DLL Terminal Services, чтобы обеспечить постоянный доступ к виктимизированным хостам.(Цитата: James TermServ DLL) Модификации этой DLL могут быть сделаны как для выполнения произвольной полезной нагрузки (при этом потенциально сохраняя нормальную функциональность termsrv.dll), так и для простого включения нежелательных функций Terminal Services. Например, злоумышленник может включить такие функции, как одновременные сеансы Remote Desktop Protocol, путем исправления файла termsrv.dll или модификации значения ServiceDll для указания на DLL, которая обеспечивает повышенную функциональность RDP.(Цитата: Windows OS Hub RDP) (Цитата: RDPWrap Github) На несерверных ОС Windows эта расширенная функциональность может также позволить злоумышленнику избежать подсказок Terminal Services, предупреждающих/выводящих пользователей из системы при создании нового сеанса RDP.
https://attack.mitre.org/techniques/T1505/005
Визуализация смежных техник для T1505.005
| № | Техника |
|---|
