本文转载于:
https://mp.weixin.qq.com/s?__biz=Mzg4NzkwMDA5NQ==&mid=2247484000&idx=1&sn=56b24135aa0aa77a690ff29566341c4e&chksm=cf8210b0f8f599a6eaa7743bc65ad4e79400839c40289a8f5407e9732e22a4ae693c0701d1b0&mpshare=1&scene=23&srcid=0511jLouYqcYp1WVWfzYTOux&sharer_sharetime=1683788116202&sharer_shareid=e065963f591f1d96b07207551473e96d#rd
RdViewer是一款使用P2P网络通讯,支持跨平台管理的远程管理工具,但是近期有情报发现该工具被某些网络攻击组织用于钓鱼攻击。于是浅用了一下这个工具,并简单研究了下如何在钓鱼场景使用它。
工具官网:https://www.rdviewer.com/
在机器安装好服务端之后,可以生成一个客户端:
正常的使用方法是,将客户端安装到需要被远程的机器,然后出现如下提醒,服务端就可以看到客户端上线了。
进到客户端的安装目录,可以看到有如下几个文件:
经过初步分析,其中rdService.exe是服务文件,安装客户端时会创建一个服务,由服务启动rdService.exe,再由rdService.exe启动RdClient.exe,由RdClient.exe实现远控能力。Lnk.dat是快捷方式配置文件,用于在桌面生成快捷方式。cfg.ini是配置文件,用于被RdClient.exe读取来决定连到哪个客户端。
cfg.ini内容如下,配置数据是经过某种加密后再进行base64编码的结果。
如果要进行钓鱼,那么尽量要做到无感知,不可以有快捷方式,也不可以有弹出安装完成的提醒。于是看了一下EDR日志,发现正常启动是带了一个参数Q0VbVls=,这个参数应该就是加密后的配置文件名称,用于读取配置cfg.ini。
经过测试,默认情况下这个参数和配置文件名是固定的,如果将参数改名或者将配置文件改名,都会在当前目录下生成一个空的cfg.ini,并弹出手动配置参数的界面。猜测如果命令行参数解密后与ini文件名对的上,也能修改参数或配置文件名,但是由于我们不知道所用的加密算法,所以用默认固定的就好。
尝试一下文件夹下只保留rdClient.exe和cfg.ini文件,通过命令行带Q0VbVls=参数启动rdClient.exe,发现可以正常上线,而且不会弹出安装成功的界面,说明通过服务启动客户端并不是正常使用这个远控所必须的。rdClient.exe Q0VbVls=
将rdClient.exe和cfg.ini文件发送到未安装过RDViewer上,同样的方式运行,发现也能正常上线,也能正常执行远控指令。所以实战中使用RD远控,只需保留着两个文件就可以了。
注意在使用之前,需要先自行安装一下服务端生成的客户端.exe,去客户端安装文件夹中找到这两个文件直接拿来用即可。
要用于钓鱼攻击的话,由于至少需要两个文件,且为了不破坏签名,也不能对rdClient.exe进行修改,所以最好使用快捷方式和文件夹一起打压缩包来进行钓鱼。制作快捷方式:注意工作目录
效果:
更好的效果,将文件夹设置为受系统保护的隐藏属性,即使开了显示隐藏文件也看不见:文章来源:https://www.toymoban.com/news/detail-439465.html
点击快捷方式就能上线,唯一的不足就是这个客户端运行需要管理员权限,会有UAC弹窗。优点就是马子带签名,稳定免杀。
暂时没想到钓鱼与BypassUAC的结合方式,可能我太菜了吧…如果有大佬有更好的思路,可以后台留言!(菜鸟流泪.jpg)文章来源地址https://www.toymoban.com/news/detail-439465.html
到了这里,关于RdViewer远控隐蔽利用及钓鱼攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![154.网络安全渗透测试—[Cobalt Strike系列]—[钓鱼攻击/鱼叉钓鱼]](https://imgs.yssmx.com/Uploads/2024/02/670642-1.png)
