رتبها

AbdulRhman Alfaifi 🇸🇦

9 تغريدة 8 قراءة Apr 10, 2023

#رمضانيات_DFIR
13 رمضان - BMC 🖼️
ال BMC هو artifact يسوي cache للصور الي في ال
Windows RDP session. يسوي cache للأجزاء الي ثابتة من الصورة بحيث أن الجهاز الي مسوي تسجبل دخول عليه بال RDP يكون مو لازم يرسل كل الصورة
#DFIR #BlueTeam

هذي الطريقة تساعد على أنه مو لازم أرسل الصورة كاملة من الخادم, أقدر أرسل بس الأجزاء الي تغيرت فقط. أحجام الصور الي يصير لها cache صغيرة مرة, تكون 64x64 pixels هذي الصور الصغيرة يقولون لها tiles

نقطة مهمة في ال BMC, هذا ال artifact موجود على ال client وليس ال server. بمعنى أنه اذا أستخدمت ال Windows RDP client (mstsc) عشان اتصل بالجهاز A من ال الجهاز B فهذا ال artifact بيكون موجود في الجهاز B

ملفات ال BMC موجودة في المجلد C:\Users\<USERNAME>\AppData\Local\Microsoft\Terminal Server Client\Cache غير ال <USERNAME> بأسم المستخد الي تبي تحلل ال BMC الخاص فيه

$ملفات ال BMC موجودة في المجلد C:\Users\<USERNAME>\AppData\Local\Microsoft\Terminal Server Clie...$

تحتاج اول شي تسوي parse لهذي الملف عشان يطلع لك الصور زي مو موضح في الصورة الي تحت

تقدر تمشي عليها صورة صورة و تشوف المعلومات الي فيها, بس عيونك بتنحول وأنت تدور شي مفيد 😅
في أداة ثانية مفيدة مع ال BMC أسمها RdpCacheStitcher. هذي الأداة تخليك تقدر ترتب هذي ال tiles عشان تطلع صورة كاملة.الصورة الي تحت توضح هذي الأداة وكيف تقدر ترتب ال tiles عشان يطلع لك شي مفيد

هذا ال artifact زي ال Jigsaw puzzle يحتاج أنك ترتب الصور بالنظر فبياخذ وقت حتى تلقى معلومات مفيدة

وش ممكن يفيدني فيه ال BMC؟
ال adversaries يستخدمون ال RDP كثير. واحدة من ال cases الي أشتغلت عليها قدرت أطلع معلومات عن الملفات الي صار لها exfiltration بالأضافة لبعض الأوامر الي نفذها ال adversary بمساعدة ال BMC

هذي هي ال parsers الي استخدمتها في هذي الثريد
bmc-tools - github.com
RdpCacheStitcher - github.com

github.com

جاري تحميل الاقتراحات...

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

التصنيفات

المزيد من هذا الكاتب

مواضيع ذات صلة

الأكثر اعجابا

فك الثريد