Бюджетный второй фактор на Телеграм для Windows

[qw1]

То есть, у злоумышленника есть 20 сек., чтобы сделать свои нехорошие дела, до того, как его сеанс будет завершён.
Интересно, есть ли способ закрепиться в системе. Имеется логин-пароль с правами пользователя, RDP-сеанс. Нужно, не имея прав администратора, либо запустить процесс, который переживёт завершение сеанса, либо создать другую точку входа в систему.

[qw1]

О, придумал! Можно положить троянца в авто-загрузку пользователю и следующий раз, когда зайдёт уже легитимный пользователь, делать что угодно, пока он не завершит сеанс.

[hardpoint]

Пользователь получит сообщение, о том что кто то заходил на его компьютер. Думаю, после такого он не только автозагрузку смотреть будет.
Если пользователь администратора, то можно и сервис остановить, как уже писалось. Если пользователь обычный, то меры будут принимать администраторы.

[qw1]

Автозагрузка это упрощение для наглядности.
А так, всегда можно спрятать, что и не найдёшь, если не знаешь, где искать (например, юзер пользуется Хромом, который ставил сам, а не централизованно, а значит, ставил бинарники в AppData)

[hardpoint]

Количество секунд задается в конфиге.
По опыту 20сек много, 10-15 нормально.
Еще от производительности компьютера многое зависит на загруженном терминале между срабатыванием события и отображением рабочего стола как раз эти 10 секунд и могут пройти.

[qw1]

Надо ориентироваться не только на проворных молодых сотрудников, но и на бабушку-бухгалтера, которой одной минуты будет впритык.

[hardpoint]

Для бабушки-бухгалтера как раз и сделана возможность прописать несколько ChatID (номеров Телеграм) для одного пользователя. И если безопасник увидит, что бабушка бухгалтер зашла на сервер в 2 часа ночи, да еще с нового ИП, то тут что-то не так.

[dm-avr]

А IP определяется, если юзер через Remote Desktop Gateway подключился?

[hardpoint]

Определяется тот ИП, который приходит на компьютер.