社工取得受害者信任后，为避免安装软件导致不必要的暴露，可以使用微软自带的远程快速助手来控制受害者电脑。macos也是支持快速助手的，不过需要安装，远没windows来得无感。

快速助手连接流程

在通话过程中，说服用户通过快速协助授予他们对设备的访问权限。目标用户只需按下 CTRL + Windows + Q 并输入威胁行为者提供的安全代码，如下图所示。

目标输入安全代码后，他们会收到一个对话框，询问是否允许屏幕共享。选择允许会将用户的屏幕与操作者共享。

会话中，攻击者可以选择请求控制，如果受害者批准，则授予攻击者对受害者设备的完全控制。

后续安装权限维持，内网渗透本文就不展开了。
这不比坑次坑次找漏洞来得轻松吗？

快速助手工作原理

帮助者和共享者都启动快速助手。
帮助程序选择“ 帮助某人”。帮助者端上的快速助手联系远程协助服务以获取会话代码。将建立 RCC 聊天会话，并且帮助者的快速助手实例将加入该会话。然后，帮助程序将代码提供给共享者。
共享者在其快速助手应用中输入代码后，快速助手使用该代码联系远程协助服务并加入该特定会话。共享者快速助手实例加入 RCC 聊天会话。
系统会提示共享者确认允许帮助者与帮助者共享其桌面。
快速助手启动 RDP 控制并连接到 RDP 中继服务。
RDP 通过 https (端口 443) 通过 RDP 中继服务将视频共享给帮助程序，以便帮助者的 RDP 控件。输入通过 RDP 中继服务从帮助程序共享到共享者。

防范此类攻击

禁用快速助手

若要禁用快速助手，请阻止流向终结点的https://remoteassistance.support.services.microsoft.com流量。这是快速助手用于建立会话的主要终结点，一旦被阻止，快速助手将无法用于获取帮助或帮助某人。

通过 PowerShell 卸载

以管理员身份运行以下 PowerShell 命令：

Get-AppxPackage -Name MicrosoftCorporationII.QuickAssist | Remove-AppxPackage -AllUsers

通过 Windows 设置卸载

导航到“设置>”“应用>已安装的应用>”>快速助手选择省略号 (...) ，然后选择“卸载”。