🕵️♂️ Призраки в кеше: как поймать lateral movement по кусочкам интерфейса
Злоумышленник подключился по RDP, походил по системе, подчистил логи и ушёл. Конец истории?
Нет. Если вы знаете, где искать, вы можете найти визуальные следы его присутствия — буквально, куски экрана.
💡 В Windows RDP-клиент сохраняет bitmap-кеш — миниатюрные изображения частей интерфейса для ускорения работы. Эти "тайлз" (16×16 или 64×64 пикселей) остаются в `%APPDATA%\Local\Microsoft\Terminal Server Client\Cache\`, и никто их не чистит вручную.
Что в них может быть:
- куски командной строки
- элементы интерфейса (панели, иконки, обои)
- фрагменты логинов, путей, даже IMEI-номеров
🔥 И если собрать эти тайлы — можно получить фрагментарные скриншоты того, что делал атакующий на удалённой машине. Даже если логов подключения уже нет, экран помнит.
Это не фантастика. Это описано в отличной статье:
"Chasing Ghosts Over RDP" от Mathias Fuchs (Medium, 2024)
📌 Используйте это:
- при форензике после RDP-доступа
- для подтверждения lateral movement
- чтобы восстановить действия злоумышленника, даже если он "почистил за собой"
RDP bitmap cache — underrated инструмент для расследований.
Даже когда кажется, что всё удалено — интерфейс оставляет следы.
#DFIR #RDP #Forensics #CyberSecurity #lateral_movement
Подробнее (https://medium.com/@mathias.fuchs/chasing-ghosts-over-rdp-lateral-movement-in-tiny-bitmaps-328d2babd8ec)
@linux_be1
Злоумышленник подключился по RDP, походил по системе, подчистил логи и ушёл. Конец истории?
Нет. Если вы знаете, где искать, вы можете найти визуальные следы его присутствия — буквально, куски экрана.
💡 В Windows RDP-клиент сохраняет bitmap-кеш — миниатюрные изображения частей интерфейса для ускорения работы. Эти "тайлз" (16×16 или 64×64 пикселей) остаются в `%APPDATA%\Local\Microsoft\Terminal Server Client\Cache\`, и никто их не чистит вручную.
Что в них может быть:
- куски командной строки
- элементы интерфейса (панели, иконки, обои)
- фрагменты логинов, путей, даже IMEI-номеров
🔥 И если собрать эти тайлы — можно получить фрагментарные скриншоты того, что делал атакующий на удалённой машине. Даже если логов подключения уже нет, экран помнит.
Это не фантастика. Это описано в отличной статье:
"Chasing Ghosts Over RDP" от Mathias Fuchs (Medium, 2024)
📌 Используйте это:
- при форензике после RDP-доступа
- для подтверждения lateral movement
- чтобы восстановить действия злоумышленника, даже если он "почистил за собой"
RDP bitmap cache — underrated инструмент для расследований.
Даже когда кажется, что всё удалено — интерфейс оставляет следы.
#DFIR #RDP #Forensics #CyberSecurity #lateral_movement
Подробнее (https://medium.com/@mathias.fuchs/chasing-ghosts-over-rdp-lateral-movement-in-tiny-bitmaps-328d2babd8ec)
@linux_be1
