我是一个反向电话查询网站(不透露任何名称)的狂热用户,在这个网站上你可以查询最近打来的电话号码。其中一个号码与臭名昭著的“Windows 技术支持”电话诈骗有关。
有人在帖子中发帖称,他们能够建立某种“双向连接”。他们说,他们允许骗子通过 RDC 在沙盒操作系统中连接到他们,并且他能够访问骗子的 PC,并在骗子继续执行脚本时查看他在做什么。
我想知道这是否可能,“受害者”是如何做到这一点的?
答案1
可以“跟踪”rdp 连接,但必须在被攻陷的“沙盒操作系统”上进行……而不是在远程攻击者主机上。跟踪者将能够看到用户正在做的所有事情,但只能在被攻陷的主机上看到。
默认情况下,被跟踪者必须明确授予允许其会话被跟踪的权限。为了能够在未经许可的情况下进行跟踪,管理员必须有意使用组策略集覆盖此设置,以允许在未经用户许可的情况下进行跟踪。
但存在以下限制:
- 只有管理员可以跟踪会话。
- 工作组中无法使用阴影功能。
如何跟踪用户? 必须在服务器上(Windows 服务器至少允许 2 个远程连接)。首先获取要跟踪的用户的 SessionID。
cmd 提示符 > 查询会话
或者打开任务管理器并转到“用户”选项卡来查找用户的 SessionID。
获得 SessionID 后,
cmd 提示符>shadow <-SessionID->