Hackere kan pwn din pc uden at efterlade spor ved hjælp af RDP-tjenester - her er, hvordan du sikrer dig selv

Home » microsoft

Ikon for læsetid 2 min. Læs

Kalenderikon Opdateret den

by Atiya Davids 

opdateret

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Windows Remote Desktop Services gør det muligt for brugere at dele lokale drev til en terminalserver med læse- og skrivetilladelser under virtuel netværksplacering "tsclient" (+ drevets bogstav).

Under fjernforbindelse kan cyberkriminelle give cryptocurrency minearbejdere, info-tyvere og ransomware; og da det er i RAM, kan de gøre det uden at efterlade nogle fodspor.

Siden februar 2018 har hackere draget fordel af 'worker.exe'-komponenten og sendt den sammen med malware-cocktails for at indsamle følgende systemdetaljer.

  • Systemoplysninger: arkitektur, CPU-model, antal kerner, RAM-størrelse, Windows-version
  • domænenavn, privilegier for den loggede bruger, liste over brugere på maskinen
  • lokal IP-adresse, upload- og downloadhastighed, offentlige IP-oplysninger som returneret af fra ip-score.com-tjenesten
  • standardbrowser, status for specifikke porte på værten, kontrol af kørende servere og lytning på deres port, specifikke indgange i DNS-cachen (hovedsageligt hvis den forsøgte at oprette forbindelse til et bestemt domæne)
  • kontrollere, om visse processer kører, eksistensen af ​​specifikke nøgler og værdier i registreringsdatabasen

Derudover har komponenten mulighed for at tage skærmbilleder og opregne alle tilsluttede netværksshares, der er kortlagt lokalt.

"worker.exe" har efter sigende udført mindst tre separate udklipsholdere, inklusive MicroClip, DelphiStealer og IntelRapid; samt to ransomware-familier - Rapid, Rapid 2.0 og Nemty, og mange Monero cryptocurrency minearbejdere baseret på XMRig. Siden 2018 har den også brugt AZORult info-tyveren.

Udklipsholderen arbejder ved at erstatte en brugers cryptocurrency wallet-adresse med hackerens, hvilket betyder, at de vil modtage alle efterfølgende midler. Selv de mest flittige brugere kan lade sig narre med den "komplekse scoringsmekanisme", som søger gennem over 1,300 adresser for at finde falske adresser, hvis start og slutning er identisk med ofrets.

Udklipsholdere anslås at have givet omkring $150,000 - selvom dette tal utvivlsomt er meget højere i virkeligheden.

"Fra vores telemetri ser disse kampagner ikke ud til at være målrettet mod specifikke industrier, men forsøger i stedet at nå ud til så mange ofre som muligt" - Bitdefender

Heldigvis kan der tages forholdsregler, som vil beskytte dig mod denne type angreb. Dette kan gøres ved at aktivere omdirigering af drev fra en liste over gruppepolitikker. Indstillingen er tilgængelig ved at følge denne sti i computerens konfigurationsapplet:

Computerkonfiguration > Administrative skabeloner > Windows-komponenter > Fjernskrivebordstjenester > Remote Desktop Session Host > Enheds- og ressourceomdirigering

Læs mere om angrebene i detaljer på blødende computer her.

via: techdator 

Mere om emnerne: hacker

Atiya Davids

Atiya Davids Shield

Nyheds journalist