本文转载于:
https://mp.weixin.qq.com/s?__biz=Mzg4NzkwMDA5NQ==&mid=2247484000&idx=1&sn=56b24135aa0aa77a690ff29566341c4e&chksm=cf8210b0f8f599a6eaa7743bc65ad4e79400839c40289a8f5407e9732e22a4ae693c0701d1b0&mpshare=1&scene=23&srcid=0511jLouYqcYp1WVWfzYTOux&sharer_sharetime=1683788116202&sharer_shareid=e065963f591f1d96b07207551473e96d#rd

RdViewer是一款使用P2P网络通讯,支持跨平台管理的远程管理工具,但是近期有情报发现该工具被某些网络攻击组织用于钓鱼攻击。于是浅用了一下这个工具,并简单研究了下如何在钓鱼场景使用它。

工具官网:https://www.rdviewer.com/
在机器安装好服务端之后,可以生成一个客户端:

正常的使用方法是,将客户端安装到需要被远程的机器,然后出现如下提醒,服务端就可以看到客户端上线了。


进到客户端的安装目录,可以看到有如下几个文件:

经过初步分析,其中rdService.exe是服务文件,安装客户端时会创建一个服务,由服务启动rdService.exe,再由rdService.exe启动RdClient.exe,由RdClient.exe实现远控能力。Lnk.dat是快捷方式配置文件,用于在桌面生成快捷方式。cfg.ini是配置文件,用于被RdClient.exe读取来决定连到哪个客户端。
cfg.ini内容如下,配置数据是经过某种加密后再进行base64编码的结果。


如果要进行钓鱼,那么尽量要做到无感知,不可以有快捷方式,也不可以有弹出安装完成的提醒。于是看了一下EDR日志,发现正常启动是带了一个参数Q0VbVls=,这个参数应该就是加密后的配置文件名称,用于读取配置cfg.ini。


经过测试,默认情况下这个参数和配置文件名是固定的,如果将参数改名或者将配置文件改名,都会在当前目录下生成一个空的cfg.ini,并弹出手动配置参数的界面。猜测如果命令行参数解密后与ini文件名对的上,也能修改参数或配置文件名,但是由于我们不知道所用的加密算法,所以用默认固定的就好。

尝试一下文件夹下只保留rdClient.exe和cfg.ini文件,通过命令行带Q0VbVls=参数启动rdClient.exe,发现可以正常上线,而且不会弹出安装成功的界面,说明通过服务启动客户端并不是正常使用这个远控所必须的。rdClient.exe Q0VbVls=


将rdClient.exe和cfg.ini文件发送到未安装过RDViewer上,同样的方式运行,发现也能正常上线,也能正常执行远控指令。所以实战中使用RD远控,只需保留着两个文件就可以了。

注意在使用之前,需要先自行安装一下服务端生成的客户端.exe,去客户端安装文件夹中找到这两个文件直接拿来用即可。

要用于钓鱼攻击的话,由于至少需要两个文件,且为了不破坏签名,也不能对rdClient.exe进行修改,所以最好使用快捷方式和文件夹一起打压缩包来进行钓鱼。制作快捷方式:注意工作目录

效果:

更好的效果,将文件夹设置为受系统保护的隐藏属性,即使开了显示隐藏文件也看不见:


点击快捷方式就能上线,唯一的不足就是这个客户端运行需要管理员权限,会有UAC弹窗。优点就是马子带签名,稳定免杀。

暂时没想到钓鱼与BypassUAC的结合方式,可能我太菜了吧…如果有大佬有更好的思路,可以后台留言!(菜鸟流泪.jpg)

RdViewer远控隐蔽利用及钓鱼攻击相关推荐

  1. java远控_利用Java实现远程控制

    利用 Java 实现远程控制 摘 要: 介绍了远程控制地原理 , 详细地叙述了利用 Java 实现远程控制软件地程序设计方法和要点 , 并给出了要点地具体实现方法 . 关键词: 远程控制: Java ...

  2. 警惕!又一起网络钓鱼攻击事件:Uniswap被盗810万美元

    2022年7月12日,Uniswap V3 平台遭受了网络钓鱼攻击.据Tokenview数据显示,攻击者已盗取7,573枚ETH,价值约810万美元. CZ预警 Binance首席执行官CZ发推提醒, ...

  3. 【利用TODESK渗透】绕过防火墙远控

    TODESK文件夹中有一个config.ini文件,这其中 clientld=设备代码 tempAuthPassEx=临时密码 设备代码是明文,临时密码是加密过的,这里其实不需要直接去破解,可以通过更 ...

  4. 移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私窃取

    伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈.针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对.早在2015年,安天移动安全就发现一例利用C# ...

  5. [网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御

    这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...

  6. 利用Cobalt Strike通过exe木马实现远控|Cobalt Strike远程控制|Cobalt Strike 使用方法|CS使用方法

    一.下载 "CS-闪电攻击" 百度网盘:https://pan.baidu.com/s/1nXq58froWt0mu3q8I4HsSQ,提取码:fdvb CS分为两部分:客户端.服 ...

  7. 移花接木大法:新型“白利用”华晨远控木马分析

    360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...

  8. SiMayRAT:利用云文档HTTPS加密传输的远控家族

    近期,我们观察到SiMayRAT家族[l2] 在2022年4月有所活动SiMAyRAT是一个远控家族,攻击者通过邮件鱼叉钓鱼方式将病毒植入到受害者后,病毒通过从云端下载第二阶段的控制代码执行,从而达到 ...

  9. 【网络安全】黑客是怎么利用私服游戏远控电脑的呢?

    一. 详细分析 用户反馈怀疑有两款游戏(倚天OL.九州)私服登录器中带有后门病毒,经分析确认游戏中带有后门病毒,其主要危害包括:发动DDoS(拒绝服务)攻击.获取SVN密码.文件浏览.断网攻击(针对指 ...

最新文章

  1. Objective-C中@property的所有属性详解
  2. [日志]挂在树上的茶壶
  3. 面试题解:输入一个数A,找到大于A的一个最小数B,且B中不存在连续相等的两个数字...
  4. 三人抢答器逻辑电路图_数字电路3人抢答器实验报告.doc
  5. 神器!人工智能分离歌曲中的人声和背景音乐
  6. 《随机过程》重点考点整理|复习笔记
  7. 获取计算机关机时间,查询电脑开关机时间的vbs代码
  8. mac vs 返回上一步_Mac 上 VSCode常用快捷键
  9. 有道智云 php,有道智云编辑器 Android SDK
  10. 云盘服务器被毁,360云盘宣布停止个人云盘服务 明年2月1日清空
  11. 在centos中运行出现错误:cannot find -lbz2
  12. python数据处理系列之读写csv数据
  13. BUCT数据结构——图
  14. 手机浏览器类型ua php,通过userAgent判断手机浏览器类型(示例代码)
  15. 387. 字符串中的第一个唯一字符
  16. Windows解锁网易云音乐客户端变灰歌曲
  17. python接口自动化项目_python接口自动化(四十二)- 项目结构设计之大结局(超详解)...
  18. mybatis-plus修改和批量修改
  19. 如何查询澳大利亚药监局(TGA)药品信息数据
  20. 电路邱关源学习笔记——2.62.7输入电阻和实际电源的两种模型及其等效变换

热门文章

  1. java检查版本更新失败_华为审核被拒:检查HMS Core更新失败
  2. MySQL数据库总结1
  3. 瑞金籍在美国知名计算机专家教授,新晚报数字报
  4. python学习之偏函数
  5. tf.py_func()函数
  6. android-ndk-r17c,使用android-ndk-r17c构建ffmpeg 4.2.1时遇到的问题
  7. 数组的flat()方法
  8. eclipse运行Android程序报错,找不到adb.exe或要你重启eclipse的解决方法
  9. mysql区间统计函数
  10. Linux查看文件详细信息分析