Я активный пользователь сайта обратного поиска телефонов (не называю имен), где можно найти недавний номер телефона, с которого звонили. Один из номеров связан с печально известным телефонным мошенничеством "Windows Tech Support".
Кто-то написал в теме, что им удалось создать своего рода «двустороннюю связь». Они сказали, что позволили мошеннику подключиться к ним в изолированной ОС через RDC, и он смог получить доступ к ПК мошенника и увидеть, что тот делает, пока мошенник продолжал выполнять скрипт.
Мне интересно, возможно ли это, и как «жертва» могла этого добиться?
решение1
Можно "скрыть" соединение rdp, но это должно быть на "песочнице ОС", которая была скомпрометирована... а не на удаленном хосте атакующего. Человек, который скрывает, сможет видеть все, что делает пользователь, но только на скомпрометированном хосте.
По умолчанию shadowee должен явно дать разрешение на то, чтобы его сеанс был затенен. Чтобы иметь возможность затенения без разрешения, администратор должен намеренно переопределить это с помощью групповой политики, разрешающей затенение без разрешения пользователя.
Существуют ограничения:
- Наблюдать за сессиями может только администратор.
- В рабочей группе слежка недоступна.
Как следить за пользователем? Должен быть на сервере (Window Servers допускают не менее 2 удаленных подключений). Сначала получите SessionID пользователя, которого вы хотите скрыть.
командная строка >запрос сеанса
или откройте диспетчер задач и перейдите на вкладку «Пользователи», чтобы найти SessionID пользователя.
Как только у вас появится SessionID,
командная строка>тень <-SessionID->