Tasti permanenti su RDP

3

Un rapporto recente a pagina 18 afferma che:

[black hats] have even leveraged [systems administration tools] as a means of maintaining additional persistence via setting “sticky keys” for RDP sessions.

In che modo le chiavi adesive sono abusate in questo modo e come posso rilevarne o impedirne lo sfruttamento? Sta impostando un criterio di gruppo per disabilitare questo funzione sufficiente?

    
posta Mark Vrabel 30.10.2014 - 13:20
fonte

1 risposta

2

Si dice che malware / rootkit e altre tecniche dannose utilizzino la vecchia ma affidabile tecnica "sticky keys", in cui "sethc.exe" viene sovrascritto con una copia di "cmd .exe " per fornire accesso non autenticato durante l'accesso RDP, link , un esempio è Hikit Rootkit, link , Sappiamo anche che non possiamo sostituire sethc.exe con i privilegi di amministratore A meno che non otteniamo il privilegio Privilegio proprietario o Installer attendibile

I Criteri di gruppo non possono salvarci da questi attacchi dannosi poiché gli utenti malintenzionati spesso installano software dannoso e quindi hanno privilegi di programma di installazione di fiducia che possono facilmente cambiare registro e criteri di gruppo

Modifica

Protezione di Microsoft Windows Come la firma del codice che autentica il codice o l'app provengono da un editore affidabile, ovvero Microsoft impedisce l'alterazione dell'app poiché è firmata dal codice, Ulteriore file e Registry Virtualization e UAC impediscono al programma di installazione di scrivere in cartelle protette come System32, puoi vedere questo quando il tuo programma di installazione prova a scrivere su system32 o HKLM chiave di registro, le scritture vengono reindirizzate in posizioni diverse e l'installer crede di aver scritto su system32 che non ha, ricercando su questo sono giunto alla conclusione che Malware prima guadagni Debug privilegia in modo che sia autorizzato a iniettare il codice in applicazioni con privilegi elevati, quindi ottiene altri privilegi e anche il cambiamento di Manifest dell'applicazione è difficile come l'editore, cioè Microsoft lo firma ma dopo aver ottenuto privilegi come i privilegi di debug può fare qualsiasi cosa

    
risposta data 14.11.2014 - 15:17
fonte

Leggi altre domande sui tag