Archivos de registro – Asistente de distribución

Este informe describe una implementación de control remoto basada en RFB (VNC), ampliada con canales de automatización adicionales, en la que no solo se utiliza el acceso remoto a la pantalla, sino también la autenticación integrada, la transferencia de archivos y la ejecución remota de comandos.

A continuación se detalla el proceso:

Primer paso

Creating AN Connection @ ... Address: VM-CLIENT-LAB01:5901

• Abre una conexión TCP con el servidor VNC (RFB) en port
• «AN Connection» = canal de comunicación principal

Negotiating RFB protocol version
Server: 3.43
Client: 3.36

• El cliente y el servidor acuerdan utilizar una versión compatible de RFB
• Garantiza que ambas partes comprendan los datos gráficos y los formatos de los comandos

Negotiating encryption
Server scheme '2'
Client scheme '1'
Encryption negotiated

• Define el método de cifrado (TLS o cifrado VNC personalizado)
• Protege:
  • credenciales
  • comandos de sesión
  • datos de la sesión

Esta es la parte más importante del registro:

Authentication scheme '4'
Domains read: Domain, VM-CLIENT-LAB01
User="Administrator"
Domain="Domain"
Intrusive=1
Sending user...
Sending password...
Sending domain...
Sending ticket number...
Sending hostname...
Authenticated

4.1 Identificación del contexto

El servidor indica que admite la autenticación empresarial:

• Dominio de Windows/AD (Domain, VM-CLIENT-LAB01)
• Compatibilidad con la autenticación integrada del sistema operativo

---

4.2 Credenciales enviadas

El cliente envía:

• Nombre de usuario (Administrador)
• Contraseña
• Dominio (SAM)
• Entrada (token de sesión)
• Nombre de host del cliente

---

4.3 Validación

El servidor realiza la validación mediante:

• Autoridad de seguridad de Windows (LSASS)
• O un servidor de Active Directory (Kerberos/NTLM, según la implementación)

Resultado:

Authenticated
Authentication response '0'

• 0 = éxito

ASRCC Connection created
Transfer Session started

Esto supone una diferencia fundamental: además del RFB, el sistema crea un canal de control avanzado paralelo.

Probablemente:

• ASRCC = «Canal de control remoto de sesión avanzada» (nombre comercial)
• No forma parte del RFB estándar

Proceso:

Checking attributes of file...
Transferring 'C:\ADW FILES\Program.exe' -> '5642209'
Transfer size: 1655627 bytes
Transferred

6.1 Lectura de archivos locales

• El cliente lee el archivo del disco local

6.2 Embalaje

• El archivo se divide en fragmentos binarios
• Puede estar comprimido o encapsulado

6.3 Transmisión a través del canal ASRCC

• NO utiliza RFB sin procesar
• Utiliza un canal independiente dentro de la sesión autenticada

6.4 Reconstrucción en el servidor

• El servidor guarda el archivo en una ubicación temporal
• Se puede cambiar el nombre (por ejemplo, 5642209.exe)

Executing command:
5642209.exe 1 5642209 Program.exe /S
Exit code: 0

7.1 El servidor ejecuta el archivo cargado

• El archivo binario transferido se ejecuta en el servidor remoto

7.2 Parámetros adicionales

Ejemplo:

• 5642209.exe →agent temporal
• /S → modo de instalación silenciosa

7.3 Resultado

Exit code: 0

• Ejecución satisfactoria

Destroying ASRCC Connection
Destroying AN Connection
Task performed
Ended

• Cierra:
  • canal de control
  • canal de transferencia
  • Sesión de RFB

Este no es un sistema estándar que solo utilice VNC.

Combina tres capas:

1. Autenticación empresarial RFB (port y 5901)

• Usuario
• Contraseña
• Dominio (AD)
• Tique de sesión

2. Canal de automatización (ASRCC)

• Subida de archivos
• Ejecución remota de archivos binarios
• Información sobre el estado de la ejecución