Удалённый доступ выдал хакеров: RDP стал источником цифровых улик

Исследователи в области кибербезопасности представили новый способ расследования атак, связанных с использованием протокола удаленного рабочего стола (RDP). Вместо обычных логов специалисты предлагают анализировать специальные кэш-файлы, которые создаются автоматически при каждом удалённом сеансе. Эти файлы содержат миниатюры экранов, к которым получал доступ пользователь, — именно в них можно обнаружить цифровые следы активности взломщика.

Кэш хранится на компьютере в виде небольших графических фрагментов размером 64×64 пикселя. Они создаются, чтобы ускорить отображение удалённого экрана при плохом соединении, но оказались крайне полезными в расследованиях. Существуют инструменты, позволяющие «сшить» эти фрагменты обратно в полноценные изображения — вплоть до восстановленного документа, который открывал хакер.

Помимо кэша, анализу подвергаются и другие следы на клиентской машине: реестр Windows, настройки RDP-подключений, буфер обмена и даже история запусков клиента удалённого доступа. Такие данные часто сохраняются даже после попыток удаления следов. В ряде случаев удавалось восстановить скопированные пароли и IP-адреса, к которым подключались злоумышленники.

Новый подход превращает сам инструмент атаки в источник улик. Даже если киберпреступники используют утилиты очистки и маскировки, специалисты способны шаг за шагом восстановить их действия, передвижения по сети и цели атаки. Теперь каждая сессия RDP может стать полной хронологией вторжения — с деталями, которые раньше считались безвозвратно потерянными.