12 votos

¿Cómo se puede revertir una conexión de escritorio remoto?

Recientemente he enterado de un usuarios de youtube cuyo pasatiempo es de cebo, estafadores, jugar con ellos por un tiempo, aprovechar la oportunidad para obtener su información, y exponerlos o completamente naufragio de su operación. Canal de YouTube (Jim Browning): https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw

Una parte vital de este usuarios de youtube táctica es invertir la conexión de escritorio remoto para que pueda ver todo en la computadora del estafador, e incluso control remoto de entrada, como en este caso: https://www.youtube.com/watch?v=FO9mWvJAugQ. Tenga en cuenta que en ninguna ocasión (al menos como se muestra en el video) ¿los usuarios de youtube pedir el estafador del permiso a "cambiar de bando" o algo por el estilo.

No estoy tratando de hacer lo que estaba haciendo, solo estoy realmente curioso cómo lo hizo.

11voto

Louis Puntos 121

Esta vulnerabilidad se describe en el artículo de Microsoft Un estudio de caso en la industria de la colaboración: Envenenado RDP de divulgación de vulnerabilidades y la respuesta. Este estudio fue realizado en collboration con Check Point investigador Eyal Itkin.

En este artículo se describe un ataque por parte de un servidor infectado en contra de un cliente la conexión a través de RDP. El ataque consiste en que el servidor usando la característica de el portapapeles compartido para copiar un grupo de archivos a otro equipo y pegarlos en el otro equipo.

Esto también es llamado "path traversal ataque", donde el servidor RDP malintencionado puede soltar archivos arbitrarios en arbitraria caminos en la máquina del cliente, de esta forma obtiene el control total de ese equipo.

El servidor también puede notificar al cliente sobre una falsa actualización sin portapapeles una operación de copia real dentro de la RDP de la ventana, por lo tanto completamente el control de del cliente en el portapapeles sin que el usuario se percate.

Eyal Itkin del estudio de la RDP de vulnerabilidades en diversos RDP software está disponible en el artículo Revertir la RDP de Ataque: la Ejecución de Código en los Clientes RDP, donde el número de vulnerabilidades de que ha encontrado es simplemente horrible.

Para protegerse de estos ataques, la única solución es usar siempre el más reciente y actualizado por completo cliente de RDP. De lo contrario, desactive al menos el portapapeles compartido característica durante la conexión.

5voto

Patrick Artner Puntos 151

Este tipo de estafadores buscar no-tech-savy personas. Programas como Teamviewer detecta "probable" estafador actividades y advierte a la gente acerca de las estafas si se conecta, por ejemplo, a una IP geofenced de decir la India y que no están en ella:

...
Hemos tomado las medidas necesarias para asegurarse de que el control remoto de los Identificadores no pueden ser utilizados con fines ilegales y estamos constantemente trabajando en nuevos métodos de detección y bloqueo de usuarios. TeamViewer se mostrará un mensaje de advertencia si una conexión entrante con un potencial fraudulenta de fondo se detecta que se advierte del riesgo de una posible estafa
... (https://community.teamviewer.com/t5/Previous-versions-EN/Scammers/td-p/682)

Para evitar este tipo de detecta y advertencias que el estafador a veces, dejar que el cliente inicia la conexión bidireccional y, a continuación, tomar, si son rápidos puede bug de los estafadores PC con algo que le permite el acceso antes de que eso suceda.

A veces estafa baiters dejar por ejemplo, un "creditinfo.xls" en una carpeta "FinanceData" en su escritorio en la esperanza de que los estafadores descargarlo y abrirlo. Contiene un macrovirus molestando a la del estafador pc y que permite el acceso remoto (no por la misma herramienta, pero proporcionando su propia puerta trasera (backdoor).

Ambas cosas son, probablemente, el límite ilegal.

Existe otras maneras - Jim Browning, por ejemplo, a veces se muestra que él aprovecha WireShark para rastrear las conexiones de red y tráfico de vuelta a los atacantes. Si/lo que él usa exactamente las correcciones de la red que se entromete en es, probablemente, no se muestran por una razón - creo que está muy bien, no es menos. La herramienta que utiliza no utiliza teamviewer, pero otras formas de backdooring las redes de los estafadores.

3voto

A G S Puntos 1

Jim Browning tenía una serie de vídeos que explican cómo es su "WhiteHat" hacking. Sus videos están ahí todavía. Eran muy técnico y muy detallados, pero no tan simplificado que alguien pudiera seguirla. Sin un buen conocimiento de la codificación & tech argot eran confusas. Mejor dejar ese tipo de cosas a los que ya lo están haciendo. Si no lo estás haciendo ahora, a partir acaba de abrir para más y peor abuso. Jim tiene VARIOS equipos de & de cajas de cajas de piezas de repuesto. Él puede permitirse el lujo de tener un ir en llamas, ahora y entonces.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: