RDP

Remote Desktop Protocol는 Windows에서 기본적으로 제공되는 프로토콜이기 때문에

별도의 도구 사용 없이도 원격 로그인이 가능하며 GUI 환경을 획득할 수 있습니다.

때문에 솔루션에 의해서 공격 행위를 명확하게 탐지하는 것이 어려우며

주로 SSH를 이용한 포트포워딩으로 터널링을 한 뒤, 내부망 RDP를 이용합니다.

RDP가 비활성화 된 상태에서는 다음 명령을 통해서 레지스트리 수정을 통해

RDP를 활성화 상태로 변경합니다.

단, Local Machine의 레지스트리를 변경하는 것이기에 관리자 권한(High IL)이 필요합니다.

Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" -Value 0
net start TermService

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
net start TermService

RDP 서비스가 활성화 된 이후에는 Port Forwarding을 통해 로컬 포트와 연결시킨 후

xfreerdp를 통해서 RDP에 연결할 수 있습니다.

# 명령어 양식
:: Kali Linux
xfreerdp /v:127.0.0.1 /u:<USER> /p:<PASS>

References