Sou um usuário ávido de um site de pesquisa reversa de telefone (sem citar nenhum nome), onde você pode procurar um número de telefone recente que ligou. Um dos números envolve o infame golpe telefônico “Suporte Técnico do Windows”.
Alguém postou no tópico, alegando que foi capaz de formar uma espécie de “conexão bidirecional”. Eles disseram que permitiram que o golpista se conectasse a eles em um sistema operacional sandbox via RDC, e ele conseguiu obter acesso ao PC do golpista e ver o que ele estava fazendo enquanto o golpista continuava com o script.
Estou me perguntando se isso é possível e como a "vítima" poderia ter conseguido isso?
Responder1
É possível "sombrear" uma conexão RDP, mas ela teria que estar no "sistema operacional sandbox" que foi comprometido... não no host remoto do invasor. A pessoa que está acompanhando poderá ver tudo o que o usuário está fazendo, mas apenas no host comprometido.
Por padrão, um shadowee deve dar permissão explicitamente para permitir que sua sessão seja ocultada. Para poder fazer sombra sem permissão, o administrador deve substituir isso intencionalmente por uma política de grupo definida para permitir sombra sem permissão do usuário.
Existem limitações:
- Somente um administrador pode acompanhar sessões.
- O sombreamento não está disponível em um grupo de trabalho.
Como fazer sombra ao usuário? Deve estar em um servidor (os servidores Windows permitem pelo menos 2 conexões remotas). Primeiro, obtenha o SessionID do usuário que você deseja acompanhar.
prompt cmd> sessão de consulta
ou abra o gerenciador de tarefas e vá para a guia "Usuários" para encontrar o SessionID de um usuário.
Depois de ter o SessionID,
prompt cmd> sombra <-SessionID->