PyRDP é um Python 3 Remote Desktop Protocol (RDP) Man-in-the-Middle (MITM) e uma biblioteca.
Possui algumas ferramentas:
RDP Man-in-the-Middle
Registra as credenciais usadas ao conectar
Rouba dados copiados para a área de transferência
Salva uma cópia dos arquivos transferidos pela rede
Salva repetições de conexões para que você possa vê-las mais tarde
Execute comandos do console ou cargas úteis do PowerShell automaticamente em novas conexões
Jogador RDP:
Veja conexões RDP ao vivo provenientes do MITM
Ver replays de conexões RDP
Assuma o controle das sessões RDP ativas enquanto oculta suas ações
Liste as unidades mapeadas do cliente e baixe arquivos delas durante as sessões ativas
Clonador de certificado RDP:
Crie um certificado X509 autoassinado com os mesmos campos do certificado de um servidor RDP
Usamos essa ferramenta como parte de um honeypot RDP que registra sessões e salva uma cópia do malware descartado em nossa máquina de destino.
O PyRDP foi apresentado pela primeira vez em um post de blog no qual demonstramos que podemos capturar um agente de ameaça real em ação . Em maio de 2019, foi realizada uma apresentação de seus autores na NorthSec e foram realizadas duas demonstrações. O primeiro abrangia registro de credenciais, roubo de área de transferência, navegação de arquivos do lado do cliente e controle de sessão. O segundo abordou a execução de cargas cmd ou powershell quando um cliente é autenticado com sucesso. Em agosto de 2019, o PyRDP foi demonstrado no BlackHat Arsenal ( slides ).