Hacker können mithilfe von RDP-Diensten Ihren PC spurlos pwnen – hier erfahren Sie, wie Sie sich schützen

Startseite » Microsoft

Symbol für die Lesezeit 2 Minute. lesen

Kalendersymbol Aktualisiert am

by Atiya Davids 

aktualisiert am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Windows Remote Desktop Services ermöglicht es Benutzern, lokale Laufwerke mit Lese- und Schreibberechtigungen unter dem virtuellen Netzwerkspeicherort „tsclient“ (+ Laufwerksbuchstabe) für einen Terminalserver freizugeben.

Unter einer Remote-Verbindung können Cyberkriminelle Kryptowährungsschürfer, Informationsdiebe und Ransomware verbreiten; und da es sich im RAM befindet, können sie dies tun, ohne Fußabdrücke zu hinterlassen.

Seit Februar 2018 nutzen Hacker die Komponente „worker.exe“ und versenden sie zusammen mit Malware-Cocktails, um die folgenden Systemdetails zu sammeln.

  • Systeminformationen: Architektur, CPU-Modell, Anzahl der Kerne, RAM-Größe, Windows-Version
  • Domänenname, Berechtigungen des angemeldeten Benutzers, Liste der Benutzer auf dem Computer
  • lokale IP-Adresse, Upload- und Download-Geschwindigkeit, öffentliche IP-Informationen, wie sie vom Dienst from ip-score.com zurückgegeben werden
  • Standardbrowser, Status bestimmter Ports auf dem Host, Überprüfung auf laufende Server und Lauschen auf deren Port, bestimmte Einträge im DNS-Cache (hauptsächlich, wenn versucht wurde, eine Verbindung zu einer bestimmten Domäne herzustellen)
  • Überprüfung, ob bestimmte Prozesse ausgeführt werden, Vorhandensein bestimmter Schlüssel und Werte in der Registrierung

Darüber hinaus kann die Komponente Screenshots erstellen und alle verbundenen Netzwerkfreigaben auflisten, die lokal zugeordnet sind.

„worker.exe“ hat Berichten zufolge mindestens drei separate Clipboard-Stealer ausgeführt, darunter MicroClip, DelphiStealer und IntelRapid; sowie zwei Ransomware-Familien – Rapid, Rapid 2.0 und Nemty – und viele Monero-Kryptowährungs-Miner, die auf XMRig basieren. Seit 2018 nutzt sie auch den Info-Stealer AZORult.

Die Clipboard-Stealer funktionieren, indem sie die Wallet-Adresse eines Benutzers in Kryptowährung durch die des Hackers ersetzen, was bedeutet, dass sie alle nachfolgenden Gelder erhalten. Selbst die fleißigsten Benutzer können mit dem „komplexen Scoring-Mechanismus“ getäuscht werden, der über 1,300 Adressen durchsucht, um gefälschte Adressen zu finden, deren Anfang und Ende mit denen des Opfers identisch sind.

Es wird geschätzt, dass Klemmbrettdiebe etwa 150,000 US-Dollar erbeutet haben – obwohl diese Zahl in Wirklichkeit zweifellos viel höher ist.

„Nach unserer Telemetrie scheinen diese Kampagnen nicht auf bestimmte Branchen abzuzielen, sondern versuchen, so viele Opfer wie möglich zu erreichen“ – Bitdefender

Glücklicherweise können Vorkehrungen getroffen werden, die Sie vor dieser Art von Angriffen schützen. Dies kann durch Aktivieren der Laufwerksumleitung aus einer Liste von Gruppenrichtlinien erfolgen. Die Option ist verfügbar, indem Sie diesem Pfad im Computerkonfigurations-Applet folgen:

Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Geräte- und Ressourcenumleitung

Lesen Sie mehr zu den Angriffen im Detail unter Pieptoncomputer .

über: Techdator 

Mehr zu den Themen: Hacker

Atiya Davids

Atiya Davids Schild

News Reporter