Hackeři mohou získat váš počítač bez zanechání stopy pomocí služeb RDP – zde je návod, jak se zabezpečit

Ikona času čtení 2 min. číst


Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Více informací

Služba Windows Remote Desktop Services umožňuje uživatelům sdílet místní jednotky s terminálovým serverem s oprávněními pro čtení a zápis pod umístěním virtuální sítě „tsclient“ (+ písmeno jednotky).

V rámci vzdáleného připojení mohou kyberzločinci předávat těžaře kryptoměn, zloděje informací a ransomware; a protože je v paměti RAM, mohou tak učinit, aniž by za sebou zanechali jakékoli stopy.

Od února 2018 hackeři využívají komponentu „worker.exe“ a posílají ji spolu s koktejly malwaru, aby shromáždili následující podrobnosti o systému.

  • Systémové informace: architektura, model CPU, počet jader, velikost RAM, verze Windows
  • název domény, oprávnění přihlášeného uživatele, seznam uživatelů na stroji
  • místní IP adresa, rychlost odesílání a stahování, veřejné IP informace vrácené službou ip-score.com
  • výchozí prohlížeč, stav konkrétních portů na hostiteli, kontrola spuštěných serverů a naslouchání na jejich portu, konkrétní položky v mezipaměti DNS (hlavně pokud se pokusil připojit k určité doméně)
  • kontrola, zda jsou spuštěny určité procesy, existence konkrétních klíčů a hodnot v registru

Kromě toho má komponenta schopnost pořizovat snímky obrazovky a vyjmenovávat všechny sdílené síťové složky, které jsou mapovány místně.

„worker.exe“ údajně spustil nejméně tři samostatné krádeže schránky, včetně MicroClip, DelphiStealer a IntelRapid; a také dvě rodiny ransomwaru – Rapid, Rapid 2.0 a Nemty a mnoho těžařů kryptoměn Monero založených na XMRig. Od roku 2018 také využívá AZORult info-stealer.

Zloději schránky fungují tak, že nahradí adresu kryptoměnové peněženky uživatele adresou hackera, což znamená, že obdrží všechny následné prostředky. Dokonce i ti nejpilnější uživatelé mohou být oklamáni „složitým vyhodnocovacím mechanismem“, který prochází přes 1,300 adres, aby našel falešné adresy, jejichž začátek a konec jsou identické s adresami oběti.

Odhaduje se, že zloději schránky vynesli kolem 150,000 XNUMX dolarů – i když toto číslo je ve skutečnosti nepochybně mnohem vyšší.

„Z naší telemetrie se nezdá, že by se tyto kampaně zaměřovaly na konkrétní průmyslová odvětví, místo toho se snaží oslovit co nejvíce obětí“ – Bitdefender

Naštěstí lze provést preventivní opatření, která vás před tímto typem útoku ochrání. To lze provést povolením přesměrování jednotky ze seznamu zásad skupiny. Tato možnost je dostupná po této cestě v apletu konfigurace počítače:

Konfigurace počítače > Šablony pro správu > Součásti systému Windows > Služby vzdálené plochy > Hostitel relace vzdálené plochy > Přesměrování zařízení a prostředků

Přečtěte si více o útocích podrobně na pípající počítač zde.

přes: techdator 

Uživatelské fórum

0 zprávy