1

Я заядлый пользователь сайта обратного поиска телефона (не называя ни одного имени), на котором вы можете найти последний номер телефона, по которому звонили. Одна из цифр связана с печально известной телефонной аферой "Техническая поддержка Windows".

Кто-то написал в ветке, утверждая, что им удалось создать своего рода «двустороннюю связь». Они сказали, что позволили мошеннику подключаться к ним в ОС песочницы через RDC, и он смог получить доступ к компьютеру мошенника и посмотреть, что он делал, пока мошенник продолжал работу со сценарием.

Мне интересно, возможно ли это, и как "жертва" могла этого достичь?

|источник

1 ответ1

1

Возможно "затенить" соединение rdp, но оно должно быть на "песочнице", которая была взломана ... а не на удаленном хосте злоумышленника. Человек, который отслеживает, сможет видеть все, что делает пользователь, но только на скомпрометированном хосте.

По умолчанию теневой пользователь должен явно дать разрешение, чтобы позволить его сеансу быть затененным. Чтобы иметь возможность теневого копирования без разрешения, администратор должен преднамеренно переопределить это с помощью групповой политики, настроенной на разрешение теневого копирования без разрешения пользователя.

Есть ограничения:

  • Только администратор может скрывать сеансы.
  • Затенение недоступно в рабочей группе.

Как скрыть пользователя? Должен быть на сервере (Window Servers допускает как минимум 2 удаленных подключения). Сначала получите SessionID пользователя, которого вы хотите скрыть.

приглашение cmd> сеанс запроса

или откройте диспетчер задач и перейдите на вкладку "Пользователи", чтобы найти SessionID пользователя.

Как только у вас есть SessionID,

приглашение cmd> shadow <-SessionID->

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .