Cómo filtrar datos en un escritorio remoto

3

A veces me encuentro con sistemas que están segregados de una manera que sé que tiene fallas. El arreglo usualmente se ve así:

Hay un entorno de TI general, que sigue las mejores prácticas: parches, antivirus, política de contraseña, USB desactivado, etc. Sin embargo, es necesario que haya un equilibrio de seguridad y facilidad de uso en este entorno (por ejemplo, se permite el acceso a Internet ) por lo que está inherentemente en riesgo, y sería un objetivo fácil para las APT.

También hay una base de datos muy sensible, que se encuentra detrás de su propio firewall. El único acceso a la base de datos es la entrada del escritorio remoto, y tal vez una salida del servidor WSUS. Los administradores argumentan que esta base de datos está "estrechamente restringida" y que no hay forma de que los datos se puedan filtrar. En general, el escritorio remoto está bloqueado correctamente: las unidades compartidas y el portapapeles están desactivados.

Sé que esto es defectuoso. Si una estación de trabajo está comprometida, un atacante puede sentarse silenciosamente y recoger las credenciales del escritorio remoto. Entonces pueden tomar el control de la base de datos a través de escritorio remoto. La última pieza del rompecabezas es exfiltrar los datos. Sé que en teoría es posible hacer esto. Por ejemplo, el malware en la base de datos podría codificar datos como códigos QR, mostrarlos en la pantalla y permitir que el escritorio remoto se los transmita al cliente. El cliente podría analizar códigos QR en la sesión de escritorio remoto y capturar datos. De hecho, estoy seguro de que se podrían usar esquemas mucho más eficientes que los códigos QR.

Sin embargo, actualmente no tengo un medio práctico para explotar esto. ¿Conoces una forma práctica de exfiltrar datos en esta situación, algo así como sqlmap?

    
pregunta paj28 15.12.2014 - 18:14
fuente

1 respuesta

2

Algunos protocolos de escritorio remoto tienen un portapapeles compartido. En este caso, los datos de exfiltración son simplemente una cuestión de copiar y pegar: copiar en el escritorio remoto, pegar en el local.

Algunos protocolos tienen transferencia de archivos incorporada. La extracción de datos se vuelve tan simple como arrastrar los archivos de la base de datos desde el escritorio remoto al local.

Todos los protocolos de escritorio remoto admiten visualización de video. La exfiltración puede ser tan primitiva como iniciar un programa de grabación de pantalla en el sistema local, observar los datos deseados y transcribirlos en su tiempo libre, o un sistema más sofisticado como el OCR automatizado o el esquema de código QR mencionado en la pregunta se puede utilizar.

Si los datos se pueden ver de forma remota, se pueden filtrar. Es solo una cuestión de lo fácil que es.

    
respondido por el Mark 15.12.2014 - 21:58
fuente

Lea otras preguntas en las etiquetas