本文转载于：
https://mp.weixin.qq.com/s?__biz=Mzg4NzkwMDA5NQ==&mid=2247484000&idx=1&sn=56b24135aa0aa77a690ff29566341c4e&chksm=cf8210b0f8f599a6eaa7743bc65ad4e79400839c40289a8f5407e9732e22a4ae693c0701d1b0&mpshare=1&scene=23&srcid=0511jLouYqcYp1WVWfzYTOux&sharer_sharetime=1683788116202&sharer_shareid=e065963f591f1d96b07207551473e96d#rd

RdViewer是一款使用P2P网络通讯，支持跨平台管理的远程管理工具，但是近期有情报发现该工具被某些网络攻击组织用于钓鱼攻击。于是浅用了一下这个工具，并简单研究了下如何在钓鱼场景使用它。

工具官网：https://www.rdviewer.com/
在机器安装好服务端之后，可以生成一个客户端：

正常的使用方法是，将客户端安装到需要被远程的机器，然后出现如下提醒，服务端就可以看到客户端上线了。


进到客户端的安装目录，可以看到有如下几个文件：

经过初步分析，其中rdService.exe是服务文件，安装客户端时会创建一个服务，由服务启动rdService.exe，再由rdService.exe启动RdClient.exe，由RdClient.exe实现远控能力。Lnk.dat是快捷方式配置文件，用于在桌面生成快捷方式。cfg.ini是配置文件，用于被RdClient.exe读取来决定连到哪个客户端。
cfg.ini内容如下，配置数据是经过某种加密后再进行base64编码的结果。

如果要进行钓鱼，那么尽量要做到无感知，不可以有快捷方式，也不可以有弹出安装完成的提醒。于是看了一下EDR日志，发现正常启动是带了一个参数Q0VbVls=，这个参数应该就是加密后的配置文件名称，用于读取配置cfg.ini。

经过测试，默认情况下这个参数和配置文件名是固定的，如果将参数改名或者将配置文件改名，都会在当前目录下生成一个空的cfg.ini，并弹出手动配置参数的界面。猜测如果命令行参数解密后与ini文件名对的上，也能修改参数或配置文件名，但是由于我们不知道所用的加密算法，所以用默认固定的就好。

尝试一下文件夹下只保留rdClient.exe和cfg.ini文件，通过命令行带Q0VbVls=参数启动rdClient.exe，发现可以正常上线，而且不会弹出安装成功的界面，说明通过服务启动客户端并不是正常使用这个远控所必须的。rdClient.exe Q0VbVls=

将rdClient.exe和cfg.ini文件发送到未安装过RDViewer上，同样的方式运行，发现也能正常上线，也能正常执行远控指令。所以实战中使用RD远控，只需保留着两个文件就可以了。

注意在使用之前，需要先自行安装一下服务端生成的客户端.exe，去客户端安装文件夹中找到这两个文件直接拿来用即可。

要用于钓鱼攻击的话，由于至少需要两个文件，且为了不破坏签名，也不能对rdClient.exe进行修改，所以最好使用快捷方式和文件夹一起打压缩包来进行钓鱼。制作快捷方式：注意工作目录

效果：

更好的效果，将文件夹设置为受系统保护的隐藏属性，即使开了显示隐藏文件也看不见：

点击快捷方式就能上线，唯一的不足就是这个客户端运行需要管理员权限，会有UAC弹窗。优点就是马子带签名，稳定免杀。

暂时没想到钓鱼与BypassUAC的结合方式，可能我太菜了吧…如果有大佬有更好的思路，可以后台留言！（菜鸟流泪.jpg）