Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Удаленный доступ (https://forum.antichat.xyz/showthread.php?t=468770)

Qwertystock 15.02.2019 22:03
Извиняюсь за неграмотность.

Смотрел видос на ютубе, где пентестер показывал использование RMS в качестве удаленного доступа, и DarkComet. Однако сейчас это пофиксили, да и наверное оно не очень если школьники пользуются этим делом.

Вопрос - какими инструментами пользуются нормальные люди для удаленного доступа?

BillyBons 15.02.2019 23:28
Цитата:
Сообщение от Qwertystock
Qwertystock said:

Извиняюсь за неграмотность.
Смотрел видос на ютубе, где пентестер показывал использование RMS в качестве удаленного доступа, и DarkComet. Однако сейчас это пофиксили, да и наверное оно не очень если школьники пользуются этим делом.
Вопрос - какими инструментами пользуются нормальные люди для удаленного доступа?
НОРМАЛЬНЫЕ люди пользуются ssh с аутентификацией по ключам ))))

Если серьезно, конкретизируйте вопрос - доступ к чему ? К взломанной клиентской машине ? Классические варианты - metasploit back-connect shell или агенты Powershell Empire. Но вообще-то фреймворков для негласного удаленного управления масса, от задачи зависит, что использовать.

Qwertystock 17.02.2019 14:13
Цитата:
Сообщение от BillyBons
BillyBons said:

НОРМАЛЬНЫЕ люди пользуются ssh с аутентификацией по ключам ))))
Если серьезно, конкретизируйте вопрос - доступ к чему ? К взломанной клиентской машине ? Классические варианты - metasploit back-connect shell или агенты Powershell Empire. Но вообще-то фреймворков для негласного удаленного управления масса, от задачи зависит, что использовать.
Доступ нужен к компьютеру, до которого пока нет доступа) Максимум на что он поведется жертва - это открыть файл, который ему можно прислать по почте. Но если это RMS то почта любая (mail yandex и т.д.) сразу сообщают что в файле вирус.

BillyBons 17.02.2019 21:39
Цитата:
Сообщение от Qwertystock
Qwertystock said:

Доступ нужен к компьютеру, до которого пока нет доступа) Максимум на что он поведется жертва - это открыть файл, который ему можно прислать по почте. Но если это RMS то почта любая (mail yandex и т.д.) сразу сообщают что в файле вирус.
Правильно, потому что сигнатуры известных средств удаленного управления уже содержатся в антивирусных фильтрах почтовых серверов.

Поэтому RMS как таковые по почте уже не посылают - посылают т.н. "дроппер", программу, которая запустится, и скачает необходимый payload с функционалом remote management непосредственно на рабочее место жертвы.

Подробное раскрытие данного вопроса, боюсь, выходит далеко за рамки одного поста.

Qwertystock 22.02.2019 20:05
Цитата:
Сообщение от BillyBons
BillyBons said:

Правильно, потому что сигнатуры известных средств удаленного управления уже содержатся в антивирусных фильтрах почтовых серверов.
Поэтому RMS как таковые по почте уже не посылают - посылают т.н. "дроппер", программу, которая запустится, и скачает необходимый payload с функционалом remote management непосредственно на рабочее место жертвы.
Подробное раскрытие данного вопроса, боюсь, выходит далеко за рамки одного поста.
Где можно послушать про наиболее подробное раскрытие вопроса с готовым гайдом?

BillyBons 23.02.2019 11:16
Цитата:
Сообщение от Qwertystock
Qwertystock said:

Где можно послушать про наиболее подробное раскрытие вопроса с готовым гайдом?
Готового пошагового гайда, думаю, нет.

Многое зависит от удаленной системы, перечня ПО, которое на ней установлено.

Разобранный пример, например, вот - http://www.exploit-monday.com/2014/0...-analysis.html

Suvor01 18.03.2019 12:08
Не смог найти нужную ветку... Вопрос следуйщий: Facebook отслеживает удаленный доступ? Я где- то читал, что даже двужение мыши анализируется - это так?

BillyBons 18.03.2019 13:01
Цитата:
Сообщение от Suvor01
Suvor01 said:

Не смог найти нужную ветку... Вопрос следуйщий: Facebook отслеживает удаленный доступ? Я где- то читал, что даже двужение мыши анализируется - это так?
Технически отслеживать движения мыши ничего не мешает, например

Код:
Code:
(function() {
  var mousePos;

  document.onmousemove = handleMouseMove;
  setInterval(getMousePosition, 100); // setInterval repeats every X ms

  function handleMouseMove(event) {
      var dot, eventDoc, doc, body, pageX, pageY;

      event = event || window.event; // IE-ism

      // If pageX/Y aren't available and clientX/Y are,
      // calculate pageX/Y - logic taken from jQuery.
      // (This is to support old IE)
      if (event.pageX == null && event.clientX != null) {
          eventDoc = (event.target && event.target.ownerDocument) || document;
          doc = eventDoc.documentElement;
          body = eventDoc.body;

          event.pageX = event.clientX +
            (doc && doc.scrollLeft || body && body.scrollLeft || 0) -
            (doc && doc.clientLeft || body && body.clientLeft || 0);
          event.pageY = event.clientY +
            (doc && doc.scrollTop  || body && body.scrollTop  || 0) -
            (doc && doc.clientTop  || body && body.clientTop  || 0 );
      }

      mousePos = {
          x: event.pageX,
          y: event.pageY
      };
  }
  function getMousePosition() {
      var pos = mousePos;
      if (!pos) {
          // We haven't seen any movement yet
      }
      else {
          // Use pos.x and pos.y
      }
  }
})();
Делает ли это Facebook - достоверно неизвестно, однако известно, что по совокупности параметров браузера (HTTP-заголовки, разрешение экрана, набор доступных шрифтов и прочее) можно создать весьма точный "слепок" конкретного пользователя, который потом отслеживать "сквозь" различные сервисы.

Таким образом умудряются даже отслеживать пользователей Tor -

что уж говорить об обычных юзерах, специально сокрытием идентификации не озабоченных.


Время: 04:04