salty-byte

RDPでリモート接続するとき、Windowsクライアント側では画面描画を高速化するために、表示されていた画面の断片画像が「RDP-Bitmap-Cache」としてディスクに保存されます。「bmc-tools」などのツールでキャッシュから個別画像を抽出し、「RdpCacheStitcher」などのツールでパズル状に連結すれば、当時のRDPセッション画面を後追いで部分復元できます。実際にランサムウェア事案で攻撃者が見ていた当時の画面の復元に活用された事例がある一方、管理者権限なしでも取得できる位置に保存される性質から、攻撃側にも悪用されうるとの指摘もあり興味深い話題の1つです。 ▼ 防御側で観測された事例 あるランサムウェア事案のフォレンジックレポートでは、初期侵入ホストのBitmap Cacheを部分復元した結果、攻撃者がVeeam Backup ＆ Replicationコンソールを開きバックアップジョブを閲覧する様子や、設定DBからバックアップを削除する操作画面が観測されたと報告されています。EDRやイベントログだけでは把握しづらいGUI上の挙動を、復元画像が裏付けた実例。 ▼ 攻撃側として指摘されている悪用シナリオ 別組織のレッドチーム視点の解説では、攻撃者が侵害した端末から管理者権限なしでこのキャッシュフォルダを取得し、自身の手元でbmc-toolsとRdpCacheStitcherにかけて過去のRDPセッション画面を再構成すれば、資格情報や機密文書、環境情報を窃取しうると指摘されています（PowerShellで圧縮→HTTPSで外部送信→痕跡削除という想定攻撃手順や、撤収前にキャッシュを意図的に消去・破壊する動機にも言及）。現時点ではあくまで悪用シナリオの提示であり、特定の攻撃グループによる実行が観測された事例として紐付けられているものではありません。 DFIR側にとっては攻撃者画面を可視化する強力な手がかりであると同時に、攻撃側から見れば侵害端末から持ち出して横展開の材料に転用しうる対象でもある、という両面性を持つ話題です。 https://t.co/0A3qtMxDc8 https://t.co/2pSF9giRuY