什么?远控程序被黑客利用了?
2024-4-12 15:41:16 Author: www.freebuf.com(查看原文) 阅读量:3 收藏

分析目标

向日葵、todesk、RayLink

前言

大风起兮云飞扬,安得猛士兮走四方!攻击,任何时候都要防!不防不行!你们想想,你带着对象出了城,吃着火锅还唱着歌,客户突然就被黑客打啦!所以,没有攻击的日子,才是好日子。

1712907277_6618e40d6404528e5ea0e.png!small?1712907379804

被打了,就赶紧应急,结果干了一下午,你突然发现,没痕迹,怎么都定位不到漏洞点。翻遍服务器所有应用程序,才发现,存在个远控工具,从未查看应用程序日志规则的你,看了一下午,一个个翻看程序日志才发现,失陷时,正好有远程登录到主机,紧接着就横向了。你开始震惊,这是怎么回事儿,好好的远控工具还开始咬人了!!!!等拿到HW报告才发现,还真是远控工具被利用了!!!!

1712907292_6618e41ca4d623025cc45.png!small?1712907395051

开始正题

1712907313_6618e43122a56fef00dc2.png!small?1712907415778

ToDesk

ToDesk 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。

被控端

被控端会生成以下六个文件,相比之下要比控制端要多。那么我们在实际场景中主要关注被控端日志。

1712907350_6618e456a0db272992560.png!small?1712907452745


那么被控端我们主要关注servicephqghume_日期.txt日志文件
首先当进程运行时,被控端主机会向todesk的服务器发起连接,并获取当前登录用户名,检索关键字“usernameA=”

1712907363_6618e463bc4223467b274.png!small?1712907465869

主机开始被远程连接前认证前,程序会打印本机设备代码以及远控的设备代码,检索关键字“myid=”、“destid=”

1712907375_6618e46f550cfc8da31ab.png!small?1712907477587

主机开始连接被控端的时候,被控端会打印日志主要流程如下:
1)接受远程认证请求
2)获取认证密码
3)更新密码
4)主机发送验证请求(这里根据日志猜测是返回认证结果)
5)拉起远程会话
检索关键字“LaunchSession”

1712907389_6618e47dcfcecf2ba4519.png!small?1712907492363

而日志中的 tcp begin connect! address=IP,该字段记录了控制端的IP地址,我们根据此日志可知道是谁控制我们的主机。检索关键字“tcp begin connect! address=”

1712907402_6618e48a6ee91e4065712.png!small?1712907504738

这里我们上传一个文件到被控主机,根据多次实验比对,当出现如下图日志时,可得知被控主机被上传了文件。检索关键字“ client recv connect request  message wParam=247”

1712907416_6618e498123058eb8a6f6.png!small?1712907518203

rayLink

RayLink远程控制软件,支持远程控制电脑,远程控制手机,远程桌面连接,免费提供稳定高清流畅的远程办公,远程协助,远程运维,方便远程教育、技术支持和远程协作等需求。  
仔细查看rayLink本机安装目录,该程序是没有本地日志的。

1712907434_6618e4aa40ce0ad6cbb19.png!small?1712907536556

登录rayLink官网,前往个人中心,我们可以看到该远程软件的日志全部上云,如果被害主机登录过rayLink,且登录的账号是受害者相关运维人员,那么就比较容易的知晓是谁控制你,以及对方的ip是多少

1712907445_6618e4b5f3f9c4db2cbe5.png!small?1712907548194

向日葵

向日葵远程控制软件是一款免费的集远程控制电脑,远程桌面连接,远程开机,远程管理,支持内网穿透的一体化远程控制管理工具软件 。
与todesk相比,向日葵的日志文件分析起来更加方便 。在分析向日葵日志时,我们重点关注 sunlogin_service.+时间.txt、history文件 。

1712907460_6618e4c4e0abd2c25eb91.png!small?1712907563752

history文件,该文件我们能清楚的查看到操作远程操作历史,远程登录以及上传文件等操作。

1712907469_6618e4cd72a07f5e1b7ad.png!small?1712907571726

sunlogin_service.+时间.txt文件,该文件我们能定位到具体是哪个源ip远程控制的,检索关键字“receive P2P request”

1712907478_6618e4d6afec7fcd7dcff.png!small?1712907581244

总结:

当主机开始内网横向,主机无弱密码、无漏洞、无web服务时。死活排查不出来,但是有远控软件时!!!!就可以注意下和横向日志和远程软件日志了,看看是不是被人远程控制了,很有可能是供应链的远程清单泄露,导致内网横向。
部分第三方公司,为了方便运维,会在服务器部署远程软件或者是内网穿透工具,如果该供应链遭受打击,那么基本可以说G。所以无思路时,不妨考虑考虑远程软件。

1712907491_6618e4e3112415ec077a1.png!small?1712907593648


文章来源: https://www.freebuf.com/articles/system/397790.html
如有侵权请联系:admin#unsafe.sh