我是反向電話查找網站(不指名道姓)的狂熱用戶,您可以在其中找到最近撥打過的電話號碼。其中一個電話號碼涉及臭名昭著的「Windows 技術支援」電話詐騙。
有人在帖子中發帖,聲稱他們能夠形成某種“雙向連接”。他們表示,他們允許詐騙者透過 RDC 在沙盒作業系統中連接到他們,並且他能夠訪問詐騙者的 PC,並在詐騙者繼續執行腳本時查看他在做什麼。
我想知道這是否可能,以及「受害者」如何做到這一點?
答案1
可以「隱藏」 rdp 連接,但它必須位於受到損害的「沙箱作業系統」上...而不是在遠端攻擊者主機上。進行監視的人將能夠看到用戶正在執行的所有操作,但只能在受感染的主機上看到。
預設情況下,影子參與者必須明確授予允許其會話被影子的權限。為了能夠在未經許可的情況下進行陰影操作,管理員必須有意使用群組原則集來覆蓋此設置,以允許在未經使用者許可的情況下進行陰影操作。
有以下限制:
- 只有管理員可以隱藏會話。
- 影子在工作小組中不可用。
如何影子用戶? 必須位於伺服器上(Windows 伺服器允許至少 2 個遠端連線)。首先取得您想要隱藏的使用者的 SessionID。
cmd提示符號>查詢會話
或者打開任務管理器並轉到“用戶”選項卡以查找用戶的 SessionID。
獲得 SessionID 後,
cmd提示符號>shadow <-SessionID->