Come estrarre i dati sul desktop remoto

3

A volte mi imbatto in sistemi che sono segregati in un modo che so essere difettoso. La disposizione di solito assomiglia a questo:

Esiste un ambiente IT generale, che segue le migliori pratiche: patch, antivirus, criteri password, USB disabilitati, ecc. Tuttavia, ci deve essere un equilibrio di sicurezza e usabilità in questo ambiente (ad esempio, l'accesso a Internet è consentito ) quindi è intrinsecamente a rischio e sarebbe un obiettivo facile per gli APT.

C'è anche un database estremamente sensibile, che si trova dietro il proprio firewall. L'unico accesso al database è il desktop remoto in ingresso e forse un server WSUS in uscita. Gli amministratori sostengono che questo database è "strettamente limitato" e non c'è modo che i dati possano essere esfiltrati. Generalmente, il desktop remoto è correttamente bloccato - le unità condivise e gli Appunti sono disabilitati.

So che questo è difettoso. Se una workstation viene compromessa, un utente malintenzionato può tranquillamente sedersi e raccogliere le credenziali del desktop remoto. Possono quindi assumere il controllo del database tramite desktop remoto. L'ultimo pezzo del puzzle è quello di esfiltrare i dati. So che in teoria è possibile farlo. Ad esempio, il malware sul database potrebbe codificare i dati come codici QR, visualizzarli sullo schermo e lasciare che il desktop remoto li trasmetta al client. Il client può analizzare i codici QR nella sessione desktop remoto e acquisire i dati. In effetti, sono sicuro che schemi molto più efficienti dei codici QR potrebbero essere usati.

Tuttavia, al momento non ho mezzi pratici per sfruttarlo. Conoscete un modo pratico per estrarre i dati in questa situazione, qualcosa di simile a sqlmap?

    
posta paj28 15.12.2014 - 18:14
fonte

1 risposta

2

Alcuni protocolli di desktop remoto hanno un appunto condiviso. In questo caso, estrarre i dati è semplicemente una questione di copia e incolla: copia sul desktop remoto, incolla su quello locale.

Alcuni protocolli hanno un trasferimento di file incorporato. L'estrazione dei dati diventa semplice come trascinare i file del database dal desktop remoto a quello locale.

Tutti i protocolli desktop remoto supportano la visualizzazione video. L'esfiltrazione può essere tanto semplice quanto avviare un programma di registrazione dello schermo sul sistema locale, osservare i dati desiderati scorrere e trascriverli a piacimento o un sistema più sofisticato come OCR automatico o lo schema di codici QR menzionato nella domanda può essere usato.

Se i dati possono essere visualizzati in remoto, possono essere esfiltrati. È solo una questione di quanto sia facile.

    
risposta data 15.12.2014 - 21:58
fonte

Leggi altre domande sui tag