社工远程桌面新思路：利用微软快速助手进行远程控制

快速助手简介

微软快速助手(Quick Assist)是Windows系统自带的远程协助工具，允许用户通过共享安全代码来建立远程控制会话。由于是系统自带工具，使用它进行远程控制比安装第三方软件更具隐蔽性。

攻击流程详解

1. 前期准备

• 社工准备：攻击者需要先通过社会工程学手段获取受害者信任
• 工具确认：确保目标系统是Windows且快速助手可用

2. 建立连接

1. 攻击者说服受害者按下 CTRL + Windows + Q 组合键打开快速助手
2. 受害者输入攻击者提供的安全代码
3. 受害者收到对话框，选择"允许"屏幕共享
4. 攻击者选择"请求控制"，受害者批准后获得完全控制权限

3. 会话建立原理

1. 双方启动快速助手
2. 攻击者端选择"帮助某人"
3. 攻击者端联系远程协助服务获取会话代码
4. 建立RCC聊天会话
5. 受害者输入代码后加入会话
6. 受害者确认允许共享桌面
7. 快速助手启动RDP控制并连接RDP中继服务
8. 通过HTTPS(443端口)传输视频和控制信号

macOS注意事项

• macOS也支持快速助手，但需要安装
• 隐蔽性不如Windows原生支持

防御措施

1. 禁用快速助手

• 阻止访问快速助手主要终结点：

  https://remoteassistance.support.services.microsoft.com
  

2. 通过PowerShell卸载

以管理员身份运行：

Get-AppxPackage -Name MicrosoftCorporationII.QuickAssist | Remove-AppxPackage -AllUsers

3. 通过Windows设置卸载

1. 打开"设置" > "应用" > "已安装的应用"
2. 找到"快速助手"
3. 点击省略号(...)选择"卸载"

攻击优势

• 无需安装额外软件，隐蔽性高
• 利用系统自带工具，不易引起怀疑
• 比寻找漏洞更直接高效

后续操作建议

• 权限维持
• 内网渗透
• 持久化访问设置

注意：本文仅用于安全研究和防御知识普及，请勿用于非法用途。