Ich bin ein begeisterter Benutzer einer Website zur umgekehrten Telefonnummernsuche (ohne Namen zu nennen), auf der man nach einer kürzlich angerufenen Telefonnummer suchen kann. Eine der Nummern betrifft den berüchtigten Telefonbetrug „Windows Tech Support“.
Jemand hatte in dem Thread gepostet und behauptet, er habe eine Art „Zweiwegeverbindung“ herstellen können. Er sagte, er habe dem Betrüger erlaubt, sich über RDC in einem Sandbox-Betriebssystem mit ihm zu verbinden, und er habe Zugriff auf den PC des Betrügers erhalten und sehen können, was er tat, während der Betrüger mit dem Skript fortfuhr.
Ich frage mich, ob dies möglich ist und wie das „Opfer“ dies geschafft haben könnte?
Antwort1
Es ist möglich, eine RDP-Verbindung zu „beschatten“, aber dies müsste auf dem „Sandbox-Betriebssystem“ erfolgen, das kompromittiert wurde, und nicht auf dem Host des Remote-Angreifers. Die Person, die beschattet, kann alles sehen, was der Benutzer tut, aber nur auf dem kompromittierten Host.
Standardmäßig muss ein Shadowee ausdrücklich die Erlaubnis erteilen, dass seine Sitzung beschattet werden darf. Um ohne Erlaubnis beschatten zu können, muss der Administrator dies absichtlich mit einer Gruppenrichtlinie außer Kraft setzen, die das Beschatten ohne Benutzerberechtigung zulässt.
Es gibt Einschränkungen:
- Nur ein Administrator kann Sitzungen begleiten.
- In einer Arbeitsgruppe ist Shadowing nicht verfügbar.
Wie kann ich einen Benutzer beschatten? Muss sich auf einem Server befinden (Windows-Server erlauben mindestens 2 Remoteverbindungen). Holen Sie sich zuerst die SessionID des Benutzers, den Sie spiegeln möchten.
cmd-Eingabeaufforderung > Sitzung abfragen
oder öffnen Sie den Task-Manager und gehen Sie zur Registerkarte „Benutzer“, um die Sitzungs-ID eines Benutzers zu finden.
Sobald Sie die SessionID haben,
cmd-Eingabeaufforderung>Shadow <-SessionID->