web-dev-qa-db-ja.com

リモートデスクトップ経由でデータを抽出する方法

欠陥があることがわかっている方法で分離されているシステムに出くわすことがあります。通常、配置は次のようになります。

ベストプラクティスに従う一般的なIT環境があります。パッチ適用、ウイルス対策、パスワードポリシー、USB無効などです。ただし、この環境にはセキュリティと使いやすさのバランスが必要です(インターネットアクセスが許可されているなど)。本質的に危険にさらされており、APTの簡単なターゲットになります。

独自のファイアウォールの背後にある非常に機密性の高いデータベースもあります。データベースへの唯一のアクセスは、リモートデスクトップの受信、およびWSUSサーバーの送信です。管理者は、このデータベースは「厳しく制限」されており、データが盗み出される可能性はないと主張しています。通常、リモートデスクトップは正しくロックダウンされています-共有ドライブとクリップボードは無効になっています。

私はこれに欠陥があることを知っています。ワークステーションが侵害された場合、攻撃者は静かに座ってリモートデスクトップの資格情報を取得できます。その後、リモートデスクトップを介してデータベースを制御できます。パズルの最後のピースは、データを引き出すことです。理論的にはこれが可能であることを知っています。たとえば、データベース上のマルウェアは、データをQRコードとしてエンコードし、画面に表示し、リモートデスクトップにクライアントに中継させることができます。クライアントは、リモートデスクトップセッションでQRコードを解析し、データをキャプチャできます。実際、QRコードを使用するよりもはるかに効率的なスキームを使用していると私は確信しています。

ただし、現在、これを利用する実用的な手段はありません。 sqlmapのような、この状況でデータを抽出する実用的な方法を知っていますか?

3
paj28

一部のリモートデスクトッププロトコルには、共有クリップボードがあります。この場合、データの引き出しは単にコピーアンドペーストの問題です。リモートデスクトップにコピーして、ローカルデスクトップに貼り付けます。

一部のプロトコルにはファイル転送が組み込まれています。データの抽出は、データベースファイルをリモートデスクトップからローカルデスクトップにドラッグするのと同じくらい簡単になります。

すべてのリモートデスクトッププロトコルはビデオ表示をサポートしています。漏出は、ローカルシステムで画面記録プログラムを開始し、目的のデータをスクロールして監視し、余暇にそれを転記する、または自動OCRや質問で述べたQRコードスキームなどのより高度なシステムと同じくらい原始的です。に使える。

データをリモートで表示できる場合、データが漏洩する可能性があります。それはどれほど簡単かという問題です。

2
Mark