Why Dont We Do Autocopy to Clipboard
众所周知,在电脑的远程控制过程中,如果能给本地和远程电脑的剪切板联动起来,A 电脑复制,B 电脑直接粘贴上去,这个体验是非常棒的,这也是目前同行中普遍的做法。
如果是 MacOS 的深度用户也知道,在 Mac 的操作系统中复制是非常方便。本地电脑复制后,剪切板可以同共享到其它的地方,然后可以直接粘贴上去。这个功能不但电脑可以复制给电脑,还可以复制给手机,相当的方便。我们的秒点 Geelevel 远控软件,最开始提供这个功能的时候,我们也是自动同步到你远程的电脑,自动进行剪切板的联动,基于这样一个普便的设计来提供的大家。
但现在,相信大家也可以见到,最新版的秒点远程控制软件,已经取消这个功能了。目前需要点远程控制界面上方的“同步剪切板内容到远程”和“同步剪切板内容到本地”这二个按钮,才能完成本机与远程电脑剪切板的同步。
为什么我们要这样做?为什么我们要给操作变得更加麻烦和复杂?
我们来谈一个最常见的问题,大家很多人应该用过 RDP,也就是微软提供给大家的远程桌面工具,也就是很多人知道的所谓的 3389 远程连接。虽然他不是专业的远程桌面工具,无法更好的在内网之类工作,但一定是使用率最高的一个工具。就是这样一个软件却存在一个问题,就是这个功能特别容易引起电脑被黑。为什么啦?
- 剪切板的复制导致重要资料与密码信息被黑客获知, 这个我们单独谈。
- 很多人密码过于简单,并且不限制尝试次数。以前做过统计, 大量用户使用 123456 或 8888 之类的密码. 但还是很多企业内部,只是给设备放到 DMZ 或隔离网络区域内,简单为了限制其它接入端口风险,允许这些设备开启 3389 端口,使用远程桌面来进行管理维护。
- 还有, 在 3389 的时候, 我们有一个能自动挂载硬盘,然后还能自动执行硬盘或 U 盘的自动安装。大家放过驱动盘或游戏盘都知道,基本原理就是 Windows 远程桌面客户端 mstsc 有一个盘符挂载选项。如果勾选了该选项,会开启磁盘共享功能。相当于将你的磁盘在远程主机上共享,你可以通过类似于 SMB 文件传输命令,将位于远程主机上的文件复制到客户端主机上。如果我们通过相应的设置,在客户端连接远程主机的一瞬间,将远程主机上早已准备好的木马程序复制到客户端主机的启动项中,那么当客户端主机下一次启动时便会执行该木马程序,客户端主机便可以成功上线。这种攻击方法又被称作 RDPInception。
当然, 可能还有其它的原因。
在这, 主要有分二种简单.
- 利用共享剪切板进行剪切板窃取
这个攻击简单来讲,我们在使用 RDP 的客户端来进行远程桌面共享操作的时候,会启动一个叫 rdpclip.exe 的进程,该进程的功能是同步服务端与客户端的剪切板。
当我们使用控制端操作远程电脑的时候,会不断的同步控制端的剪切板给对方,假如任何一端的电脑被黑客监听,这时可以读到剪切板内容。当控制端或被控端在做另外的操作,不小心复制或输入了密码的时候,有多危险?这也是秒点 geelevel 远控关掉这个功能的原因。
进一步,我们讲一下更加危险的。由于该进程时后台运行的,当管理员同时用远程桌面登陆多个服务器,在其中得某一个服务器上进行复制拷贝操作时,会将数据同步到所有服务器的 rdplicp.exe 进程,只要网络中任意一台被黑,都有可能引起全部被黑。
- 利用共享剪切板传输恶意软件
假设我们在监听到对方有拷贝操作的时候,将内容替换成我们指定的文件,便可以把文件拷到对方机器上。如果对方感到好奇点开恶意程序的时候,主机就会沦陷。
苹果目前这个功能非常的爽,也很好用,无论是传文件,还是剪切板。但有个前提,他就是使用同一个 applieID 的主机,才会同步。所以接下来,上线用户注册功能,在使用同一个用户名进行 login 的主机,这个功能就会回归。敬请期待…