هکرها با استفاده از سرویسهای RDP میتوانند کامپیوتر شما را بدون برجای گذاشتن ردی پاک کنند - در اینجا نحوه محافظت از خود آورده شده است
2 دقیقه خواندن
به روز شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
Windows Remote Desktop Services به کاربران این امکان را میدهد تا درایوهای محلی را با مجوز خواندن و نوشتن، تحت موقعیت شبکه مجازی "tsclient" (+ حرف درایو) در یک سرور پایانی به اشتراک بگذارند.
تحت اتصال از راه دور، مجرمان سایبری می توانند ماینرهای ارزهای دیجیتال، دزدان اطلاعات و باج افزار را به دیگران منتقل کنند. و از آنجایی که در رم است، آنها می توانند این کار را بدون گذاشتن ردپایی انجام دهند.
از فوریه 2018، هکرها از مؤلفه «worker.exe» استفاده کرده و آن را به همراه کوکتلهای بدافزار برای جمعآوری جزئیات سیستم زیر ارسال میکنند.
- اطلاعات سیستم: معماری، مدل CPU، تعداد هسته ها، اندازه RAM، نسخه ویندوز
- نام دامنه، امتیازات کاربر وارد شده، لیست کاربران در دستگاه
- آدرس IP محلی، سرعت آپلود و دانلود، اطلاعات IP عمومی که توسط سرویس ip-score.com برگردانده شده است
- مرورگر پیشفرض، وضعیت پورتهای خاص روی هاست، بررسی سرورهای در حال اجرا و گوش دادن به پورت آنها، ورودیهای خاص در حافظه پنهان DNS (عمدتاً اگر سعی در اتصال به دامنه خاصی داشته باشد)
- بررسی اینکه آیا فرآیندهای خاصی در حال اجرا هستند، وجود کلیدها و مقادیر خاص در رجیستری
علاوه بر این، این مؤلفه توانایی گرفتن اسکرین شات و شمارش تمام اشتراکهای شبکه متصل که به صورت محلی نقشهبرداری شدهاند را دارد.
طبق گزارشها، «worker.exe» حداقل سه دزد کلیپبورد مجزا از جمله MicroClip، DelphiStealer و IntelRapid را اجرا کرده است. و همچنین دو خانواده باج افزار - Rapid، Rapid 2.0 و Nemty، و بسیاری از ماینرهای ارز دیجیتال Monero مبتنی بر XMRig. از سال 2018، از دزد اطلاعات AZORult نیز استفاده می کند.
دزدان کلیپ بورد با جایگزین کردن آدرس کیف پول رمزنگاری کاربر با آدرس هکر کار می کنند، به این معنی که تمام وجوه بعدی را دریافت خواهند کرد. حتی سختکوشترین کاربران را میتوان با «مکانیسم امتیازدهی پیچیده» فریب داد، که بیش از 1,300 آدرس را برای یافتن آدرسهای جعلی، که شروع و پایان آن با آدرس قربانی یکسان است، بررسی میکند.
تخمین زده می شود که دزدان کلیپ بورد حدود 150,000 دلار بازده داشته باشند - اگرچه این رقم بدون شک در واقعیت بسیار بیشتر است.
"از نظر دورسنجی ما، به نظر نمی رسد که این کمپین ها صنایع خاصی را هدف قرار دهند، در عوض سعی می کنند تا حد امکان به قربانیان بیشتری دسترسی پیدا کنند." - Bitdefender
خوشبختانه می توان اقدامات پیشگیرانه ای انجام داد که از شما در برابر این نوع حملات محافظت می کند. این را می توان با فعال کردن تغییر مسیر درایو از لیستی از سیاست های گروه انجام داد. این گزینه با دنبال کردن این مسیر در اپلت پیکربندی کامپیوتر در دسترس است:
پیکربندی رایانه > قالب های اداری > اجزای ویندوز > خدمات دسکتاپ از راه دور > میزبان جلسه دسکتاپ از راه دور > تغییر مسیر دستگاه و منابع
جزئیات بیشتر درباره حملات را در اینجا بخوانید بلیپینگ کامپیوتر اینجا.
از طریق: تکداتور