El Lado Positivo: Valor Forense de los Artefactos de Caché de RDP

Aunque el enfoque principal de este análisis son los riesgos, es importante reconocer el doble filo de estos artefactos. Para los investigadores forenses digitales (DFIR), los archivos de caché de RDP son una mina de oro de información. Pueden proporcionar una ventana visual a las actividades de un atacante o un usuario interno malintencionado, incluso si otros registros han sido manipulados o eliminados.

- Reconstrucción de Actividades del Atacante: Si un atacante utiliza RDP para moverse lateralmente dentro de una red, los archivos de caché en los clientes desde los que inició las sesiones (que podrían ser estaciones de trabajo comprometidas) pueden contener imágenes de los paneles de control, herramientas o datos a los que accedió. Esto puede ayudar a comprender el alcance del compromiso y las acciones del atacante.
- Corroboración de Testimonios y Otras Evidencias: Las imágenes reconstruidas pueden servir como evidencia visual tangible para corroborar declaraciones de usuarios, registros de eventos o datos de red.
- Identificación de Herramientas y Técnicas: Los iconos de aplicaciones, interfaces de línea de comandos o ventanas de software específicas visibles en las cachés pueden ayudar a identificar las herramientas utilizadas por un atacante.
- Recuperación de Datos Transitorios: Información que nunca se guardó en un archivo (como un mensaje de error, una consulta de base de datos ejecutada interactivamente o un borrador no guardado) podría quedar capturada en la caché de RDP.

Sin embargo, este valor forense no disminuye los riesgos de seguridad asociados con su persistencia no controlada. De hecho, subraya la necesidad de una gestión equilibrada: proteger los sistemas para evitar la fuga de datos a través de estos artefactos, mientras se reconocen y aprovechan sus capacidades de investigación cuando es necesario y bajo procedimientos controlados. 
 

Estrategias de Mitigación y Gestión de Riesgos 

Abordar los riesgos de seguridad asociados con la caché de RDP requiere un enfoque multifacético que combine configuraciones técnicas, políticas organizativas y concienciación de los usuarios. El objetivo es minimizar la persistencia de datos sensibles en los clientes y controlar el acceso a estos artefactos cuando existan.

1-    Deshabilitación de la Caché Persistente de Mapa de Bits:

•    Configuración del Cliente RDP (mstsc.exe): La forma más directa de prevenir la persistencia de la caché es deshabilitar la opción "Persistent bitmap caching" en el cliente RDP. Esto se puede lograr modificando el archivo .rdp utilizado para la conexión e incluyendo la línea bitmapcachepersistenable:i:0 . Cuando esta opción está deshabilitada, el cliente no guardará los mapas de bits en el disco después de cerrar la sesión. Es importante destacar que deshabilitar la caché persistente no necesariamente deshabilita la caché en memoria durante la sesión activa (que sigue siendo beneficiosa para el rendimiento), pero sí evita su almacenamiento a largo plazo en el disco.
•    Modo Público de MSTSC: El cliente RDP de Windows (mstsc.exe) ofrece un modo "público" (accesible mediante el modificador /public o a través de la interfaz gráfica). Este modo está diseñado para su uso en equipos no fiables y, además de deshabilitar el guardado de credenciales y otros detalles de la sesión, también previene el almacenamiento de la caché de mapa de bits. Fomentar o forzar el uso de este modo para conexiones desde dispositivos no gestionados o de alto riesgo es una medida de seguridad recomendada.
•     Deshabilitación a Nivel de Servidor (Limitaciones): Deshabilitar la caché de mapa de bits desde el lado del servidor para todos los clientes que se conectan es más complejo y puede tener implicaciones de rendimiento. Algunas fuentes sugieren que es posible mediante modificaciones en la configuración del Terminal Server o políticas de grupo, pero no es un método estándar o universalmente aplicable sin un impacto potencial en la experiencia del usuario. Por lo tanto, el enfoque principal debe estar en la configuración del cliente.
 

2-    Implementación de Procedimientos de Limpieza Segura:

•    Si no es factible deshabilitar completamente la caché persistente (por ejemplo, por requisitos de rendimiento en entornos controlados), se deben establecer procedimientos para la limpieza regular y segura de los archivos de caché. Esto puede implicar la creación de scripts que eliminen los contenidos del directorio ...\Terminal Server Client\Cache\ al finalizar la sesión de usuario, al cerrar sesión o mediante una tarea programada

•    Es crucial que estos scripts utilicen métodos de borrado seguro (sobrescritura de datos) para evitar la recuperación forense de los archivos eliminados. Herramientas de borrado seguro o comandos específicos del sistema operativo pueden ser integrados en estos scripts

3-    Restricción del Uso de RDP y Fortalecimiento de Entornos: 
•    Limitar RDP a Dispositivos Gestionados: Las políticas de seguridad deben restringir el uso de RDP para acceder a sistemas sensibles solo desde dispositivos corporativos gestionados y que cumplan con los estándares de seguridad de la organización (incluyendo las configuraciones de caché de RDP y software de endpoint protection).
•    Uso de Puertas de Enlace RDP (RD Gateway) y VPNs: En lugar de permitir conexiones RDP directas a los servidores, se debe implementar una puerta de enlace RDP (RD Gateway) o exigir el uso de VPNs con autenticación multifactor (MFA). Estos mecanismos centralizan el acceso remoto, permiten aplicar políticas de seguridad de manera más uniforme y reducen la exposición directa de los servidores RDP a la red.
•    Endurecimiento de Sistemas: Aplicar principios de endurecimiento de sistemas tanto a los clientes RDP como a los servidores RDP. Esto incluye mantener el software actualizado, utilizar cuentas de usuario con privilegios mínimos necesarios y configurar políticas de contraseñas robustas.

4-    Monitorización y Detección: 
•    Implementar reglas en los sistemas de detección de eventos (SIEM) y en las soluciones de Endpoint Detection and Response (EDR) para monitorizar la creación, modificación, acceso inusual o eliminación de archivos de caché de RDP (*.bmc, *.bin) en las rutas esperadas. Una actividad inesperada, como la lectura de estos archivos por parte de un proceso no legítimo o su borrado masivo, podría ser un indicador de compromiso.
•    La automatización de la recolección y análisis forense de estos artefactos mediante playbooks (como Cortex XSOAR) puede acelerar la respuesta a incidentes cuando se detecta actividad sospechosa relacionada con RDP
 

5-    Concienciación y Formación: 
•    Es fundamental educar a los usuarios, especialmente a administradores de sistemas y personal con acceso remoto a datos sensibles, sobre los riesgos asociados con la caché de RDP y la importancia de seguir las políticas establecidas (como el uso del modo público o la conexión solo desde dispositivos gestionados).
•    Incluir módulos de formación sobre los artefactos forenses de RDP en los programas de concienciación general sobre seguridad puede ayudar a reducir el riesgo de exposición accidental.
La combinación de estas estrategias, adaptadas al contexto y al apetito de riesgo de cada organización, es esencial para gestionar de manera efectiva las amenazas derivadas de los artefactos de caché de RDP.
 

Referencias:
[0] Blind Forensics with the RDP Bitmap Cache | by Ronald Craft. https://medium.com/@ronald.craft/blind-forensics-with-the-rdp-bitmap-cache-16e0c202f91c 
[1] RDP Bitmap Cache - Piece(s) of the Puzzle. https://www.thedfirspot.com/post/rdp-bitmap-cache-piece-s-of-the-puzzle . 
[2] Analyzing and Extracting Bitmap Cache Files from RDP. https://www.cyberengage.org/post/analyzing-and-extracting-bitmap-cache-files-from-rdp-sessions . 
[3] Detection: Windows RDP Bitmap Cache File Creation. https://research.splunk.com/endpoint/5f8671b6-07a7-425d-b3da-c39a53f2a6ae . 
[4] The remote desktop puzzle. DFIR techniques for dealing. https://www.pentestpartners.com/security-blog/the-remote-desktop-puzzle-dfir-techniques-for-dealing-with-rdp-bitmap-cache 
[5] RDP Bitmap Cache | Detection. https://insiderthreatmatrix.org/detections/DT035 . 
[6] RDP Bitmap Cache - Detect and Hunt. https://xsoar.pan.dev/docs/reference/playbooks/rdp-bitmap-cache---detect-and-hunt . 
[7] remote desktop cache \ Permanently caching bitmaps. https://learn.microsoft.com/en-us/answers/questions/430008/remote-desktop-cache-permanently-caching-bitmaps . 
[8] Using RDP without leaving traces: the MSTSC public mode. https://devolutions.net/blog/2025/03/using-rdp-without-leaving-traces-the-mstsc-public-mode . 
[9] RDP Bitmap Forensics for DFIR Investigations. https://medium.com/@egycondor/rdp-bitmap-forensics-for-dfir-investigations-f4f627431275 . 
[10] Playbook of the week: Uncover Your RDP Secrets. https://live.paloaltonetworks.com/t5/community-blogs/playbook-of-the-week-uncover-your-rdp-secrets/ba-p/560586 . 
[11] Cache Me If You Can: Through the Hacker's Eyes. https://www.moxfive.com/blog/cache-me-if-you-can-through-the-hackers-eyes . 
[12] ANSSI-FR/bmc-tools: RDP Bitmap Cache parser. https://github.com/ANSSI-FR/bmc-tools . 
[13] Puzzling RDP Cache - Putting the Pieces Together. https://www.youtube.com/watch?v=9P845AMjJF0 . 
[14] New RDP Exploit Allows Attackers to Take Over Windows. https://gbhackers.com/new-rdp-exploit . 
[15] Detection: Windows RDP Cache File Deletion. https://research.splunk.com/endpoint/f3e86ff3-b1f9-4382-8924-6913385f1019 . 
[16] BSI-Bund/RdpCacheStitcher. https://github.com/BSI-Bund/RdpCacheStitcher .