你的团队每天用远程桌面连服务器?那些会话结束后,硬盘里可能正躺着几千张"屏幕碎片"——攻击者花几分钟就能拼出完整画面。

安全公司SCYTHE Labs最近披露的攻击路径,把Windows一个"性能优化"功能变成了数据泄露通道。不需要管理员权限,不需要定制恶意软件,免费工具就能搞定。

打开网易新闻 查看精彩图片

被忽视的"性能功能"长什么样

Windows内置的远程桌面协议(RDP)位图缓存(Bitmap Cache),设计初衷是加速连接加载。它会把你远程会话中的屏幕内容切成小图块,存到本地硬盘,类似浏览器缓存网页缩略图。

问题是这些图块捕获的是实时屏幕的一切:打开的内部工具、机密文档、邮件收件箱、甚至明文输入的密码字段。

更麻烦的是,连接断开后缓存文件不会自动清理。它们躺在标准用户目录里,普通用户权限就能读取——攻击者根本不用费劲提权。

全球企业攻击面研究显示,RDP相关安全问题占总体安全事件的近三分之一。BianLian、Medusa、Scattered Spider等活跃威胁组织频繁利用RDP入口,而这个默认开启的缓存功能,成了他们隐蔽侦察的现成工具。

攻击链拆解:从碎片到完整画面

整个利用流程出奇地标准化。攻击者先定位缓存文件夹——它在每台Windows机器的本地应用数据路径下,位置固定,一找一个准。

接着用一条PowerShell命令把整个缓存文件夹打包成zip。通过标准HTTPS外传,流量混在正常业务请求里很难察觉。传完删除压缩包,痕迹清理完毕。

到手之后,两件开源工具完成拼图:

bmc-tools把原始缓存文件解析成数千个微小图块;RdpCacheStitcher(RDP缓存拼接器)像拼拼图一样把这些散落图块还原成原始会话画面。

「即使只是部分重建,往往也足以暴露足够的环境细节,为下一阶段的网络攻击提供情报。」SCYTHE研究人员指出。

讽刺的是,这个缓存还能当"反取证"信号用。攻击者如果用过RDP,退出前常会整目录删除缓存。一台有长期远程桌面使用记录的工作站,突然出现空的位图缓存,本身就是高度可疑的入侵指标。

防御该往哪使力

SCYTHE的建议集中在两个方向:提升监控可见度,调整默认配置。

具体措施包括组策略禁用位图缓存、会话结束后强制清理缓存目录、对缓存路径的异常访问和删除行为设置告警。核心思路是把这个"性能优化"还原成可管控的安全风险点。

一个设计用来省几毫秒加载时间的功能,成了数据泄露的隐蔽通道——这类"善意功能变攻击面"的案例,在Windows生态里恐怕不是最后一个。你的RDP配置检查清单,最近更新过吗?