Teclas pegajosas en RDP

3

Un informe reciente en la página 18 indica que:

  

[black hats] incluso han aprovechado [las herramientas de administración de sistemas] como un medio para mantener una persistencia adicional a través de la configuración de "teclas adhesivas" para las sesiones de RDP.

¿Cómo se abusa de las claves adhesivas de esta manera y cómo detecto o evito su explotación? está configurando una política de grupo para deshabilitar esto característica suficiente?

    
pregunta Mark Vrabel 30.10.2014 - 13:20
fuente

1 respuesta

2
Se informa que

Malware / rootkit y otras técnicas malintencionadas utilizan la antigua pero confiable técnica de "teclas adhesivas", por lo que "sethc.exe" se sobrescribe con una copia de "cmd .exe " para proporcionar acceso no autenticado durante el inicio de sesión de RDP, enlace , un ejemplo es Hikit Rootkit, enlace , también sabemos que no podemos reemplazar sethc.exe con privilegios de administrador A menos que obtengamos el privilegio de Tomar posesión o el instalador de confianza privilegiado

La

Política de grupo no puede salvarnos de estos ataques maliciosos, ya que los atacantes a menudo instalan software malicioso y, por lo tanto, tienen privilegios de instalador de confianza que pueden cambiar fácilmente el registro y la política de grupo

Editar

Protección de Microsoft Windows Al igual que la firma de código que autentica que el código o la aplicación provino de un editor de confianza, es decir, Microsoft evita la manipulación indebida de la aplicación ya que está firmada por el código, la virtualización de archivos y registros adicionales y UAC evitan que el instalador escriba en carpetas protegidas como System32. puede ver esto cuando su instalador intenta escribir en system32 o en la clave de registro de HKLM, las escrituras se redirigen a una ubicación diferente y el instalador cree que ha escrito en system32 que no lo ha hecho. Al investigar sobre esto, llegué a la conclusión de que Malware primero gana la depuración. privilegios para que esté autorizado a inyectar código en una aplicación de alto privilegio, luego gana otros privilegios y también es difícil cambiar el Manifiesto de la aplicación como publicador, es decir, Microsoft lo firma, pero después de obtener súper privilegios como los privilegios de depuración, puede hacer cualquier cosa

    
respondido por el raven 14.11.2014 - 15:17
fuente

Lea otras preguntas en las etiquetas