Wireshark — Descifrado y Análisis de Sesiones RDP

#wireshark #rdp #tls #decrypt #forensics #incident-response #network-analysis
Contexto

Durante una investigación de Respuesta a Incidentes (IR), se capturó tráfico sospechoso RDP (rdp.pcapng) entre dos hosts.
En la máquina del usuario Bob, se halló una clave privada (server.key) que permite descifrar el tráfico TLS.

El objetivo de este laboratorio es analizar la sesión RDP una vez desencriptada utilizando Wireshark 🦈.

🪟 Tarea #1 — Abrir el archivo en Wireshark

  1. Descomprime el archivo RDP-analysis.zip.

  2. Abre el archivo rdp.pcapng en Wireshark:

    wireshark rdp.pcapng &

Consejo

Asegúrate de cerrar cualquier otra captura en ejecución para evitar confusión con los filtros.

🔍 Tarea #2 — Analizar el tráfico

Primero, filtra el tráfico relacionado con RDP:

rdp
Pasted image 20251012195833.png

Resultado

No se mostrará casi nada, ya que RDP utiliza TLS para cifrar su comunicación.

Para confirmar su existencia, filtra por el puerto por defecto de RDP:

tcp.port == 3389
Pasted image 20251012195856.png

Confirmación

Existe comunicación entre los hosts 10.129.43.27 (cliente) y 10.129.43.29 (servidor).
Esto indica que sí hay una sesión RDP, aunque cifrada.

🔑 Tarea #3 — Importar la clave RSA para descifrar el tráfico

Objetivo

Configurar Wireshark para utilizar la clave privada del servidor (server.key) y así descifrar el tráfico TLS.

🪜 Pasos

  1. Ve a Edit → Preferences → Protocols → TLS.

  2. En la sección RSA Keys List, haz clic en Edit → +.
    Pasted image 20251012200041.png

  3. Agrega los valores siguientes:

Campo Valor
IP address 10.129.43.29
Port 3389
Protocol tpkt (o vacío)
Key File Ruta a server.key
Pasted image 20251012200137.png

  1. Guarda los cambios ✅

  2. Refresca la captura con Ctrl + R.

Tip

Si Wireshark no descifra el tráfico de inmediato, revisa que el archivo server.key tenga permisos de lectura y sea una clave RSA válida.

👀 Tarea #4 — Visualizar el tráfico desencriptado

Aplica de nuevo el filtro:

rdp

Ahora podrás ver

  • RDP Negotiation Request

  • RDP Licensing

  • RDP Data PDU

  • Eventos de teclado y ratón

🎉 ¡El tráfico ha sido desencriptado con éxito!

🧩 Análisis Detallado

Wireshark ahora puede seguir las conversaciones y mostrar el contenido transmitido.

Ejemplo de salida

rdp.security.user = "bob"

Preguntas del Laboratorio

🖥️ ¿Qué host inició la sesión RDP?

Observa el primer SYN

10.129.43.27 → 10.129.43.29:3389

Cliente: 10.129.43.27
Servidor: 10.129.43.29