Im Bereich der IT-Sicherheit gewinnen offensive Sicherheitsmaßnahmen zunehmend an Bedeutung, insbesondere im Rahmen moderner Penetrationstests und Red-Team-Operationen. Ein essenzielles Thema dabei ist die Fähigkeit, Benutzeranmeldedaten in Echtzeit abzufangen und gleichzeitig die Remote-Desktop-Protokoll-Sitzungen (RDP) zu manipulieren, um mehrere parallele Verbindungen auf demselben System zu ermöglichen. Diese Vorgehensweise ist nicht nur technisch herausfordernd, sondern erfordert auch ein tiefgehendes Verständnis von Windows-Sicherheitsmechanismen sowie kreativen Einsatz von Open-Source-Technologien. Die Entwicklung einer solchen Utility ist speziell im Kontext von Red-Team-Aktivitäten wertvoll, da sie es ermöglicht, privilegierte Accounts abzugreifen und mehrere RDP-Sitzungen parallel auszuführen – ein Nutzen, der in herkömmlichen Umgebungen aus Sicherheitsgründen normalerweise unterbunden wird. Die Idee, den bekannten Open-Source-Tool Mimikatz zu modifizieren und in Kombination mit weiteren eigen entwickelten Komponenten zu nutzen, stellt einen innovativen Ansatz dar.
Der Kern dieser Lösung liegt in der Integration unterschiedlicher Module, welche kooperativ arbeiten, um eine nahtlose Überwachung, Abfangung und Übertragung von Benutzer-Credentials zu gewährleisten. Beginnend mit einer Initialisierungsphase, bei der alle Komponenten in einem definierten Arbeitsumfeld bereitgestellt werden, über die tatsächliche Datenübertragung via benannter Pipes bis hin zu Eingriffen in das RDP-System, um die parallele Sitzungserstellung zu ermöglichen, werden alle Schritte intelligent orchestriert. Ein entscheidendes Element des Workflows ist die sogenannte Security Support Provider (SSP) Implementierung, die innerhalb von modifizierten Bibliotheken wie „mimilib.dll“ läuft. Dieser Sicherheitsanbieter agiert als Abgreifer, sammelt alle notwendigen Anmeldeinformationen in Echtzeit und leitet diese über einen zuverlässigen Kanal weiter.
Üblicherweise wird dafür ein benannter Pipe genutzt, da er eine stabile und kontrollierbare Kommunikation des lokalen Systems zu angreiferseitigen Empfangsprozessen garantiert. Auf dem Zielsystem läuft ein modifizierter Netcat Klient namens „mefcat.exe“, der den exklusiven Zweck hat, diese gesammelten Daten zu übernehmen und sicher an einen entfernten Host zu senden, welcher vom Penetrationstester kontrolliert wird. Die Verwendung von Windows-Ereignissen und globalen Synchronisationsobjekten unterstützt dabei die Prozesskommunikation und Fehlerresistenz, um auch bei auftretenden Problemen eine stabile Datenübermittlung zu gewährleisten. Die Herausforderung wird größer, wenn es darum geht, auf dem Zielsystem mehrere RDP-Sitzungen gleichzeitig zu ermöglichen.
Standardmäßig ist Windows so konfiguriert, dass aus Sicherheitsgründen nur eine aktive Sitzung pro User oder Host zugelassen wird. Hier kommt das Patchen der termsrv.dll ins Spiel, das gezielt modifiziert wird, um Multi-Session-RDP auf einem einzelnen Server zu aktivieren. Diese Modifikation ist technisch anspruchsvoll, da sie tief in die Windows-Terminalserver-Architektur eingreift, stellt aber einen kritischen Vorteil für Red Teams dar, um gleichzeitige Zugriffe ohne Konflikte zu realisieren. Zusätzlich ergänzt ein weiterer automatisierter Batch-Skript „KoH.
bat“ die Lösung, indem es aktive RDP-Sitzungen kontrolliert und bei Bedarf gezielt beendet, um Ressourcenkonflikte zu vermeiden und konkurrierende Verbindungen gezielt auszuschalten. Das erhöht die Kontrolle und verbessert die Stabilität der eingesetzten Multi-Session-Strategie. Die Entwicklung dieser Toolchain erfolgte unter hohem Zeitdruck und basiert stark auf Open-Source-Komponenten, ergänzt durch originäre Anpassungen. Diese Herangehensweise zeigt exemplarisch, wie moderne Sicherheitsforscher mithilfe von bereits bestehenden Ressourcen innovative Lösungen für komplexe Herausforderungen schaffen können. Für penetrative Sicherheitsanalysen und Red-Team-Übungen sind solche Tools nicht nur nützlich, sondern oft unverzichtbar, da sie reale Angriffsvektoren simulieren und die Effektivität der Verteidigungsmaßnahmen innerhalb von Netzwerken testen.
Wichtig ist dabei die verantwortungsvolle Nutzung dieser Werkzeuge. Sie sind in erster Linie für den Einsatz innerhalb kontrollierter, vertraglich geregelter Penetrationstests gedacht und dürfen keinesfalls missbräuchlich verwendet werden. Rechtliche und ethische Aspekte spielen eine zentrale Rolle, da unautorisierte Zugriffe bzw. Veränderungen an Systemen schwerwiegende Konsequenzen haben können. Die Integration der einzelnen Komponenten zeigt, wie essenziell ein ganzheitliches Verständnis der zugrunde liegenden Systeme ist.
Das Intervall der Credential-Abfangung, die Synchronisation über Events, der zuverlässige Datenkanal durch den Named Pipe, sowie das tiefgreifende Eingreifen in die Terminalserver-DLL erfordern fundierte Programmierkenntnisse und detailliertes Know-how über Windows-Systemarchitektur und Sicherheit. Zudem ist die Wahl der Programmiersprache C++ in Kombination mit systemnahen Windows-APIs durchaus gerechtfertigt, da diese direkten Zugriff auf die erforderlichen OS-Funktionalitäten ermöglichen. Die Verwendung von Ressourcenmechanismen zur Einbettung fertiger Binärdateien innerhalb der Haupt-Anwendung erleichtert die Verteilung und Installation, macht die Lösung agiler und schwieriger zu erkennen. Aus Sicht der Cybersicherheitsbranche stellt die vorgestellte Lösung eine wertvolle Ergänzung dar, um in Red-Team-Szenarien das Handling von Benutzeranmeldedaten und Remote-Zugriffen effizient zu gestalten. Solche praxisorientierten Tools erweitern die Möglichkeiten der Sicherheitsüberprüfung und helfen, Schwachstellen in produktiven Umgebungen aufzudecken, bevor sie von kriminellen Akteuren ausgenutzt werden können.
Für zukünftige Entwicklungen bieten sich weitere Potenziale an, beispielsweise die Einbindung von Künstlicher Intelligenz zur automatisierten Analyse der abgefangenen Credentials oder zur Erkennung ungewöhnlicher Sitzungsmuster bei Multi-Session-Verbindungen. Auch das Zusammenspiel mit anderen Open-Source-Instrumenten könnte vertieft werden, um die Funktionalitäten weiter auszubauen und die Benutzerfreundlichkeit zu erhöhen. Abschließend lässt sich sagen, dass die technische Konstruktion und funktionale Integration von Tools zur Echtzeit-Account-Erfassung und parallelen Verwaltung von RDP-Sitzungen eine anspruchsvolle, aber lohnende Aufgabe ist. Für Penetrationstester und Informationssicherheitsprofis sind solche Tools äußerst hilfreich, um den Schutz von Systemen und Netzwerken nachhaltig zu verbessern, indem sie realistische Angriffsszenarien nachbilden und Schwächen gezielt ausloten.
