PDA

Просмотр полной версии : Удаленный доступ


Qwertystock
15.02.2019, 22:03
Извиняюсь за неграмотность.

Смотрел видос на ютубе, где пентестер показывал использование RMS в качестве удаленного доступа, и DarkComet. Однако сейчас это пофиксили, да и наверное оно не очень если школьники пользуются этим делом.

Вопрос - какими инструментами пользуются нормальные люди для удаленного доступа?

BillyBons
15.02.2019, 23:28
↑ (https://antichat.live/posts/4285379/)
Извиняюсь за неграмотность.
Смотрел видос на ютубе, где пентестер показывал использование RMS в качестве удаленного доступа, и DarkComet. Однако сейчас это пофиксили, да и наверное оно не очень если школьники пользуются этим делом.
Вопрос - какими инструментами пользуются нормальные люди для удаленного доступа?


НОРМАЛЬНЫЕ люди пользуются ssh с аутентификацией по ключам ))))

Если серьезно, конкретизируйте вопрос - доступ к чему ? К взломанной клиентской машине ? Классические варианты - metasploit back-connect shell или агенты Powershell Empire. Но вообще-то фреймворков для негласного удаленного управления масса, от задачи зависит, что использовать.

Qwertystock
17.02.2019, 14:13
↑ (https://antichat.live/posts/4285414/)
НОРМАЛЬНЫЕ люди пользуются ssh с аутентификацией по ключам ))))
Если серьезно, конкретизируйте вопрос - доступ к чему ? К взломанной клиентской машине ? Классические варианты - metasploit back-connect shell или агенты Powershell Empire. Но вообще-то фреймворков для негласного удаленного управления масса, от задачи зависит, что использовать.


Доступ нужен к компьютеру, до которого пока нет доступа) Максимум на что он поведется жертва - это открыть файл, который ему можно прислать по почте. Но если это RMS то почта любая (mail yandex и т.д.) сразу сообщают что в файле вирус.

BillyBons
17.02.2019, 21:39
↑ (https://antichat.live/posts/4285995/)
Доступ нужен к компьютеру, до которого пока нет доступа) Максимум на что он поведется жертва - это открыть файл, который ему можно прислать по почте. Но если это RMS то почта любая (mail yandex и т.д.) сразу сообщают что в файле вирус.


Правильно, потому что сигнатуры известных средств удаленного управления уже содержатся в антивирусных фильтрах почтовых серверов.

Поэтому RMS как таковые по почте уже не посылают - посылают т.н. "дроппер", программу, которая запустится, и скачает необходимый payload с функционалом remote management непосредственно на рабочее место жертвы.

Подробное раскрытие данного вопроса, боюсь, выходит далеко за рамки одного поста.

Qwertystock
22.02.2019, 20:05
↑ (https://antichat.live/posts/4286114/)
Правильно, потому что сигнатуры известных средств удаленного управления уже содержатся в антивирусных фильтрах почтовых серверов.
Поэтому RMS как таковые по почте уже не посылают - посылают т.н. "дроппер", программу, которая запустится, и скачает необходимый payload с функционалом remote management непосредственно на рабочее место жертвы.
Подробное раскрытие данного вопроса, боюсь, выходит далеко за рамки одного поста.


Где можно послушать про наиболее подробное раскрытие вопроса с готовым гайдом?

BillyBons
23.02.2019, 11:16
↑ (https://antichat.live/posts/4287479/)
Где можно послушать про наиболее подробное раскрытие вопроса с готовым гайдом?


Готового пошагового гайда, думаю, нет.

Многое зависит от удаленной системы, перечня ПО, которое на ней установлено.

Разобранный пример, например, вот - http://www.exploit-monday.com/2014/04/powerworm-analysis.html

Suvor01
18.03.2019, 12:08
Не смог найти нужную ветку... Вопрос следуйщий: Facebook отслеживает удаленный доступ? Я где- то читал, что даже двужение мыши анализируется - это так?

BillyBons
18.03.2019, 13:01
↑ (https://antichat.live/posts/4293894/)
Не смог найти нужную ветку... Вопрос следуйщий: Facebook отслеживает удаленный доступ? Я где- то читал, что даже двужение мыши анализируется - это так?


Технически отслеживать движения мыши ничего не мешает, например


(function() {
var mousePos;

document.onmousemove = handleMouseMove;
setInterval(getMousePosition, 100); // setInterval repeats every X ms

function handleMouseMove(event) {
var dot, eventDoc, doc, body, pageX, pageY;

event = event || window.event; // IE-ism

// If pageX/Y aren't available and clientX/Y are,
// calculate pageX/Y - logic taken from jQuery.
// (This is to support old IE)
if (event.pageX == null && event.clientX != null) {
eventDoc = (event.target && event.target.ownerDocument) || document;
doc = eventDoc.documentElement;
body = eventDoc.body;

event.pageX = event.clientX +
(doc && doc.scrollLeft || body && body.scrollLeft || 0) -
(doc && doc.clientLeft || body && body.clientLeft || 0);
event.pageY = event.clientY +
(doc && doc.scrollTop || body && body.scrollTop || 0) -
(doc && doc.clientTop || body && body.clientTop || 0 );
}

mousePos = {
x: event.pageX,
y: event.pageY
};
}
function getMousePosition() {
var pos = mousePos;
if (!pos) {
// We haven't seen any movement yet
}
else {
// Use pos.x and pos.y
}
}
})();

Делает ли это Facebook - достоверно неизвестно, однако известно, что по совокупности параметров браузера (HTTP-заголовки, разрешение экрана, набор доступных шрифтов и прочее) можно создать весьма точный "слепок" конкретного пользователя, который потом отслеживать "сквозь" различные сервисы.

Таким образом умудряются даже отслеживать пользователей Tor -

что уж говорить об обычных юзерах, специально сокрытием идентификации не озабоченных.