RdViewer是一款使用P2P网络通讯,支持跨平台管理的远程管理工具,但是近期有情报发现该工具被某些网络攻击组织用于钓鱼攻击。于是浅用了一下这个工具,并简单研究了下如何在钓鱼场景使用它。
![RdViewer远控隐蔽利用及钓鱼攻击]( "RdViewer远控隐蔽利用及钓鱼攻击")
正常的使用方法是,将客户端安装到需要被远程的机器,然后出现如下提醒,服务端就可以看到客户端上线了。
经过初步分析,其中rdService.exe是服务文件,安装客户端时会创建一个服务,由服务启动rdService.exe,再由rdService.exe启动RdClient.exe,由RdClient.exe实现远控能力。Lnk.dat是快捷方式配置文件,用于在桌面生成快捷方式。cfg.ini是配置文件,用于被RdClient.exe读取来决定连到哪个客户端。
cfg.ini内容如下,配置数据是经过某种加密后再进行base64编码的结果。
如果要进行钓鱼,那么尽量要做到无感知,不可以有快捷方式,也不可以有弹出安装完成的提醒。于是看了一下EDR日志,发现正常启动是带了一个参数Q0VbVls=,这个参数应该就是加密后的配置文件名称,用于读取配置cfg.ini。
经过测试,默认情况下这个参数和配置文件名是固定的,如果将参数改名或者将配置文件改名,都会在当前目录下生成一个空的cfg.ini,并弹出手动配置参数的界面。猜测如果命令行参数解密后与ini文件名对的上,也能修改参数或配置文件名,但是由于我们不知道所用的加密算法,所以用默认固定的就好。
尝试一下文件夹下只保留rdClient.exe和cfg.ini文件,通过命令行带Q0VbVls=参数启动rdClient.exe,发现可以正常上线,而且不会弹出安装成功的界面,说明通过服务启动客户端并不是正常使用这个远控所必须的。rdClient.exe Q0VbVls=
将rdClient.exe和cfg.ini文件发送到未安装过RDViewer上,同样的方式运行,发现也能正常上线,也能正常执行远控指令。所以实战中使用RD远控,只需保留着两个文件就可以了。
注意在使用之前,需要先自行安装一下服务端生成的客户端.exe,去客户端安装文件夹中找到这两个文件直接拿来用即可。
要用于钓鱼攻击的话,由于至少需要两个文件,且为了不破坏签名,也不能对rdClient.exe进行修改,所以最好使用快捷方式和文件夹一起打压缩包来进行钓鱼。制作快捷方式:注意工作目录
更好的效果,将文件夹设置为受系统保护的隐藏属性,即使开了显示隐藏文件也看不见:
点击快捷方式就能上线,唯一的不足就是这个客户端运行需要管理员权限,会有UAC弹窗。优点就是马子带签名,稳定免杀。
暂时没想到钓鱼与BypassUAC的结合方式,可能我太菜了吧...如果有大佬有更好的思路,可以后台留言!(菜鸟流泪.jpg)
注:本文内容仅用于交流学习,不可用于网络攻击等非法行为,否则造成的后果均与本文作者无关,维护网络安全人人有责~
原文始发于微信公众号(刨洞技术交流):RdViewer远控隐蔽利用及钓鱼攻击
评论