我最近发现了一个 YouTuber,他的爱好就是引诱骗子,与他们玩一段时间,利用这个机会获取他们的信息,然后揭露他们或彻底破坏他们的行动。YouTube 频道(Jim Browning):https://www.youtube.com/channel/UCBNG0osIBAprVcZZ3ic84vw
这位 YouTuber 的策略中一个至关重要的部分是反转远程桌面连接,这样他就可以看到骗子电脑上的所有内容,甚至可以通过远程输入来控制它,就像这样:https://www.youtube.com/watch?v=FO9mWvJAugQ。请注意,在任何情况下(至少在视频中显示),YouTuber 都没有向骗子请求“转换立场”或类似的事情的许可。
我并不是想做他所做的事情,我只是真的很好奇他是怎么做到的。
答案1
Microsoft 文章中描述了此漏洞 行业协作案例:中毒RDP漏洞披露与响应。本研究与 Check Point 研究员 Eyal Itkin 合作完成。
本文介绍了受感染服务器对通过 RDP 连接的客户端发起的攻击。攻击包括服务器使用共享剪贴板功能将一组文件复制到另一台计算机并将其粘贴到另一台计算机中。
这也被称为“路径遍历攻击”,恶意 RDP 服务器可以在客户端计算机上的任意路径中放置任意文件,从而完全控制该计算机。
服务器还可以通知客户端有关虚假剪贴板更新的信息,而无需在 RDP 窗口内进行实际的复制操作,从而完全控制客户端的剪贴板,而用户却毫不知情。
Eyal Itkin 对各种 RDP 软件中的 RDP 漏洞的研究可在以下文章中找到 反向 RDP 攻击:在 RDP 客户端上执行代码,他发现的漏洞数量简直令人震惊。
为了防范这些攻击,唯一的解决方案是始终使用最新且完全更新的 RDP 客户端。否则,请在连接时至少禁用共享剪贴板功能。
答案2
这类骗子会寻找不懂技术的人。Teamviewer 等软件可以检测“可能的”骗子活动,并警告人们注意诈骗,例如,如果您连接到来自印度的 IP 地理围栏,而您不在其中:
...
我们已采取必要措施确保远程 ID 不再用于非法目的,并且我们一直在研究查找和阻止此类用户的新方法。如果检测到具有潜在欺诈背景的传入连接,TeamViewer 将显示一条警告消息,以警告我们的用户存在潜在诈骗的风险
...(https://community.teamviewer.com/t5/Previous-versions-EN/Scammers/td-p/682)
为了避免这些检测和警告,诈骗者有时会让客户启动双向连接然后接管 - 如果你速度快的话,你可以在那件事发生之前用某种允许你访问的东西来干扰诈骗者的电脑。
有时诈骗诱饵会离开例如桌面上的“FinanceData”文件夹中有一个“creditinfo.xls”,希望骗子能够下载并打开它。它包含一个宏病毒,可以窃取骗子电脑的权限并允许远程访问(不是通过相同的工具,而是提供他们自己的后门)。
这两件事可能都处于非法边缘。
还有其他方法 - 例如,Jim Browning 有时会利用 WireShark 来追踪网络连接和流量,找到攻击者。至于他到底用什么来窃听他入侵的网络,可能没有理由说明 - 无论如何,我认为他很酷。他使用的工具不是使用 teamviewer,而是使用其他方式来为诈骗者的网络设置后门。