Arquivos de log – Assistente de distribuição

Este registro descreve uma implementação de controle remoto baseada no RFB (VNC), ampliada com canais de automação adicionais, na qual não se utiliza apenas o acesso remoto à tela, mas também autenticação integrada, transferência de arquivos e execução remota de comandos.

Segue abaixo a descrição detalhada do fluxo:

Primeiro passo

Creating AN Connection @ ... Address: VM-CLIENT-LAB01:5901

• Abre uma conexão TCP com o servidor VNC (RFB) na port
• “AN Connection” = principal canal de comunicação

Negotiating RFB protocol version
Server: 3.43
Client: 3.36

• O cliente e o servidor acordam em uma versão compatível do RFB
• Garante que ambas as partes compreendam os dados gráficos e os formatos de comando

Negotiating encryption
Server scheme '2'
Client scheme '1'
Encryption negotiated

• Define o método de criptografia (TLS ou criptografia VNC personalizada)
• Protege:
  • credenciais
  • comandos de sessão
  • dados da sessão

Esta é a parte mais importante do registro:

Authentication scheme '4'
Domains read: Domain, VM-CLIENT-LAB01
User="Administrator"
Domain="Domain"
Intrusive=1
Sending user...
Sending password...
Sending domain...
Sending ticket number...
Sending hostname...
Authenticated

4.1 Identificação do contexto

O servidor indica que é compatível com a autenticação corporativa:

• Domínio do Windows/AD (Domain, VM-CLIENT-LAB01)
• Suporte integrado à autenticação do sistema operacional

---

4.2 Credenciais enviadas

O cliente envia:

• Nome de usuário (Administrador)
• Senha
• Domínio (SAM)
• Ingresso (token de sessão)
• Nome do host do cliente

---

4.3 Validação

O servidor realiza a validação por meio de:

• Autoridade de Segurança do Windows (LSASS)
• Ou back-end do Active Directory (Kerberos/NTLM, dependendo da implementação)

Resultado:

Authenticated
Authentication response '0'

• 0 = sucesso

ASRCC Connection created
Transfer Session started

Isso introduz uma diferença fundamental: além do RFB, o sistema cria um canal de controle avançado paralelo.

Provavelmente:

• ASRCC = “Canal Avançado de Controle Remoto de Sessão” (nome proprietário)
• Não faz parte do RFB padrão

Processo:

Checking attributes of file...
Transferring 'C:\ADW FILES\Program.exe' -> '5642209'
Transfer size: 1655627 bytes
Transferred

6.1 Leitura de arquivos locais

• O cliente lê o arquivo do disco local

6.2 Embalagem

• O arquivo é dividido em blocos binários
• Pode ser compactado ou encapsulado

6.3 Transmissão pelo canal ASRCC

• NÃO utiliza RFB bruto
• Utiliza um canal separado dentro da sessão autenticada

6.4 Reconstrução no servidor

• O servidor grava o arquivo em um local temporário
• Pode renomeá-lo (por exemplo, 5642209.exe)

Executing command:
5642209.exe 1 5642209 Program.exe /S
Exit code: 0

7.1 O servidor executa o arquivo enviado

• O arquivo binário transferido é executado no host remoto

7.2 Parâmetros adicionais

Exemplo:

• 5642209.exe →agent temporário
• /S → modo de instalação silenciosa

7.3 Resultado

Exit code: 0

• Execução bem-sucedida

Destroying ASRCC Connection
Destroying AN Connection
Task performed
Ended

• Encerra:
  • canal de controle
  • canal de transferência
  • Sessão RFB

Este não é um sistema padrão que utilize apenas o VNC.

Ele combina três camadas:

1. Autenticação empresarial RFB (port , 5901)

• Usuário
• Senha
• Domínio (AD)
• Bilhete de sessão

2. Canal de automação (ASRCC)

• Envio de arquivos
• Execução remota de arquivos binários
• Feedback sobre o status da execução