나는 최근에 전화한 전화번호를 조회할 수 있는 역방향 전화 조회 사이트(이름은 밝히지 않음)의 열렬한 사용자입니다. 그 중 하나는 악명 높은 "Windows 기술 지원" 전화 사기와 관련이 있습니다.
누군가가 일종의 "양방향 연결"을 형성할 수 있었다고 주장하면서 스레드에 게시했습니다. 그들은 사기꾼이 RDC를 통해 샌드박스 OS에서 그들과 연결할 수 있도록 허용했고, 사기꾼의 PC에 접근하여 사기꾼이 스크립트를 계속 작성하는 동안 그가 무엇을 하고 있는지 확인할 수 있었다고 말했습니다.
이것이 가능한지, 그리고 "피해자"가 어떻게 그렇게 할 수 있었는지 궁금합니다.
답변1
RDP 연결을 "섀도잉"하는 것이 가능하지만 원격 공격자 호스트가 아닌 손상된 "샌드박스 OS"에 있어야 합니다. 섀도잉하는 사람은 사용자가 수행하는 모든 작업을 볼 수 있지만 손상된 호스트에서만 볼 수 있습니다.
기본적으로 섀도우 피자는 자신의 세션이 섀도우되도록 허용하는 권한을 명시적으로 부여해야 합니다. 허가 없이 섀도잉을 허용하려면 관리자는 사용자 허가 없이 섀도잉을 허용하도록 설정된 그룹 정책을 사용하여 이를 의도적으로 재정의해야 합니다.
제한사항이 있습니다.
- 관리자만 세션을 섀도우할 수 있습니다.
- 작업그룹에서는 섀도잉을 사용할 수 없습니다.
사용자를 섀도우하는 방법은 무엇입니까? 서버에 있어야 합니다(Windows Server는 최소 2개의 원격 연결을 허용합니다). 먼저 섀도우하려는 사용자의 SessionID를 가져옵니다.
cmd 프롬프트 > 쿼리 세션
또는 작업 관리자를 열고 "사용자" 탭으로 이동하여 사용자의 SessionID를 찾으세요.
SessionID가 있으면
cmd 프롬프트>섀도우 <-SessionID->