Удаленный доступ

Извиняюсь за неграмотность.
Смотрел видос на ютубе, где пентестер показывал использование RMS в качестве удаленного доступа, и DarkComet. Однако сейчас это пофиксили, да и наверное оно не очень если школьники пользуются этим делом.
Вопрос - какими инструментами пользуются нормальные люди для удаленного доступа?

 

НОРМАЛЬНЫЕ люди пользуются ssh с аутентификацией по ключам ))))

Если серьезно, конкретизируйте вопрос - доступ к чему ? К взломанной клиентской машине ? Классические варианты - metasploit back-connect shell или агенты Powershell Empire. Но вообще-то фреймворков для негласного удаленного управления масса, от задачи зависит, что использовать.

 

Доступ нужен к компьютеру, до которого пока нет доступа) Максимум на что он поведется жертва - это открыть файл, который ему можно прислать по почте. Но если это RMS то почта любая (mail yandex и т.д.) сразу сообщают что в файле вирус.

 

Правильно, потому что сигнатуры известных средств удаленного управления уже содержатся в антивирусных фильтрах почтовых серверов.

Поэтому RMS как таковые по почте уже не посылают - посылают т.н. "дроппер", программу, которая запустится, и скачает необходимый payload с функционалом remote management непосредственно на рабочее место жертвы.

Подробное раскрытие данного вопроса, боюсь, выходит далеко за рамки одного поста.

 

Где можно послушать про наиболее подробное раскрытие вопроса с готовым гайдом?

 

Готового пошагового гайда, думаю, нет.
Многое зависит от удаленной системы, перечня ПО, которое на ней установлено.

Разобранный пример, например, вот - http://www.exploit-monday.com/2014/04/powerworm-analysis.html

 

Не смог найти нужную ветку... Вопрос следуйщий: Facebook отслеживает удаленный доступ? Я где- то читал, что даже двужение мыши анализируется - это так?

 

Технически отслеживать движения мыши ничего не мешает, например

Code:

(function() {
   var mousePos;

   document.onmousemove = handleMouseMove;
   setInterval(getMousePosition, 100); // setInterval repeats every X ms

   function handleMouseMove(event) {
       var dot, eventDoc, doc, body, pageX, pageY;

       event = event || window.event; // IE-ism

       // If pageX/Y aren't available and clientX/Y are,
       // calculate pageX/Y - logic taken from jQuery.
       // (This is to support old IE)
       if (event.pageX == null && event.clientX != null) {
           eventDoc = (event.target && event.target.ownerDocument) || document;
           doc = eventDoc.documentElement;
           body = eventDoc.body;

           event.pageX = event.clientX +
             (doc && doc.scrollLeft || body && body.scrollLeft || 0) -
             (doc && doc.clientLeft || body && body.clientLeft || 0);
           event.pageY = event.clientY +
             (doc && doc.scrollTop  || body && body.scrollTop  || 0) -
             (doc && doc.clientTop  || body && body.clientTop  || 0 );
       }

       mousePos = {
           x: event.pageX,
           y: event.pageY
       };
   }
   function getMousePosition() {
       var pos = mousePos;
       if (!pos) {
           // We haven't seen any movement yet
       }
       else {
           // Use pos.x and pos.y
       }
   }
})();

Делает ли это Facebook - достоверно неизвестно, однако известно, что по совокупности параметров браузера (HTTP-заголовки, разрешение экрана, набор доступных шрифтов и прочее) можно создать весьма точный "слепок" конкретного пользователя, который потом отслеживать "сквозь" различные сервисы.

Таким образом умудряются даже отслеживать пользователей Tor -



что уж говорить об обычных юзерах, специально сокрытием идентификации не озабоченных.