首页
下载应用
提交文章
关于我们
问卷:你怎么看自由微信?
🔥 热搜 🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
问卷:你怎么看自由微信?
🔥
热搜
🔥
1
上海
2
习近平
3
新疆
4
鄂州父女瓜
5
乌鲁木齐
6
疫情
7
H工口小学生赛高
8
习明泽
9
芊川一笑图包
10
印尼排华
分类
社会
娱乐
国际
人权
科技
经济
其它
桐城一派|突发!湖南省财政厅厅长刘文杰坠楼身亡
因为地铁逃票,警察拔枪乱射,无辜乘客爆头
陈佩斯,这次真悬了!
不能返税、不能补贴,招商局长们怎么办?
大,无需多言,事实胜于雄辩
生成图片,分享到微信朋友圈
查看原文
其他
RdViewer远控隐蔽利用及钓鱼攻击
刨洞技术交流
2023-06-22
The following article is from 红蓝攻防研究实验室
Author 网络保安29
RdViewer是一款使用P2P网络通讯,支持跨平台管理的远程管理工具,但是近期有情报发现该工具被某些网络攻击组织用于钓鱼攻击。于是浅用了一下这个工具,并简单研究了下如何在钓鱼场景使用它。
工具官网:https://www.rdviewer.com/
在机器安装好服务端之后,可以生成一个客户端:
正常的使用方法是,将客户端安装到需要被远程的机器,然后出现如下提醒,服务端就可以看到客户端上线了。
进到客户端的安装目录,可以看到有如下几个文件:
经过初步分析,其中rdService.exe是服务文件,安装客户端时会创建一个服务,由服务启动rdService.exe,再由rdService.exe启动RdClient.exe,由RdClient.exe实现远控能力。Lnk.dat是快捷方式配置文件,用于在桌面生成快捷方式。cfg.ini是配置文件,用于被RdClient.exe读取来决定连到哪个客户端。
cfg.ini内容如下,配置数据是经过某种加密后再进行base64编码的结果。
如果要进行钓鱼,那么尽量要做到无感知,不可以有快捷方式,也不可以有弹出安装完成的提醒。于是看了一下EDR日志,发现正常启动是带了一个参数Q0VbVls=,这个参数应该就是加密后的配置文件名称,用于读取配置cfg.ini。
经过测试,默认情况下这个参数和配置文件名是固定的,如果将参数改名或者将配置文件改名,都会在当前目录下生成一个空的cfg.ini,并弹出手动配置参数的界面。猜测如果命令行参数解密后与ini文件名对的上,也能修改参数或配置文件名,但是由于我们不知道所用的加密算法,所以用默认固定的就好。
尝试一下文件夹下只保留rdClient.exe和cfg.ini文件,通过命令行带Q0VbVls=参数启动rdClient.exe,发现可以正常上线,而且不会弹出安装成功的界面,说明通过服务启动客户端并不是正常使用这个远控所必须的。rdClient.exe Q0VbVls=
将rdClient.exe和cfg.ini文件发送到未安装过RDViewer上,同样的方式运行,发现也能正常上线,也能正常执行远控指令。所以实战中使用RD远控,只需保留着两个文件就可以了。
注意在使用之前,需要先自行安装一下服务端生成的客户端.exe,去客户端安装文件夹中找到这两个文件直接拿来用即可。
要用于钓鱼攻击的话,由于至少需要两个文件,且为了不破坏签名,也不能对rdClient.exe进行修改,所以最好使用快捷方式和文件夹一起打压缩包来进行钓鱼。制作快捷方式:注意工作目录
效果:
更好的效果,将文件夹设置为受系统保护的隐藏属性,即使开了显示隐藏文件也看不见:
点击快捷方式就能上线,唯一的不足就是这个客户端运行需要管理员权限,会有UAC弹窗。优点就是马子带签名,稳定免杀。
暂时没想到钓鱼与BypassUAC的结合方式,可能我太菜了吧...如果有大佬有更好的思路,可以后台留言!(菜鸟流泪.jpg)
注:本文内容仅用于交流学习,不可用于网络攻击等非法行为,否则造成的后果均与本文作者无关,维护网络安全人人有责~
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存