私は、最近かかってきた電話番号を検索できる電話番号逆引き検索サイト(名前は挙げません)の熱心なユーザーです。その番号の 1 つは、悪名高い「Windows テクニカル サポート」の電話詐欺に関係しています。
スレッドには、ある種の「双方向接続」を形成できたと主張する投稿者がいました。彼らは、RDC 経由でサンドボックス OS で詐欺師に接続できるようにし、詐欺師がスクリプトを続行している間に詐欺師の PC にアクセスして何をしているのか確認できたと述べています。
これが可能なのか、そして「被害者」はどうやってそれを成し遂げたのか、私は疑問に思います。
答え1
RDP 接続を「シャドウイング」することは可能ですが、リモート攻撃者のホストではなく、侵害された「サンドボックス OS」上で実行する必要があります。シャドウイングしている人は、侵害されたホスト上でのみ、ユーザーが行っているすべての操作を見ることができます。
デフォルトでは、シャドウされる側は、自分のセッションをシャドウするための許可を明示的に与える必要があります。許可なしにシャドウできるようにするには、管理者が、ユーザーの許可なしにシャドウを許可するように設定されたグループ ポリシーで、これを意図的に上書きする必要があります。
制限があります:
- 管理者のみがセッションをシャドウイングできます。
- ワークグループではシャドウイングは使用できません。
ユーザーをシャドウイングするにはどうすればいいですか? サーバー上に存在する必要があります (Windows サーバーでは少なくとも 2 つのリモート接続が許可されます)。まず、シャドウイングするユーザーの SessionID を取得します。
コマンドプロンプト > セッションのクエリ
または、タスク マネージャーを開いて「ユーザー」タブに移動し、ユーザーの SessionID を見つけます。
SessionIDを取得したら、
cmd プロンプト>shadow <-セッションID->