هکرها با استفاده از سرویس‌های RDP می‌توانند کامپیوتر شما را بدون برجای گذاشتن ردی پاک کنند - در اینجا نحوه محافظت از خود آورده شده است

صفحه اصلی » مایکروسافت

نماد زمان خواندن 2 دقیقه خواندن

نماد تقویم به روز شده در

by آتیا دیویدز 

به روز شد

این مقاله را به اشتراک بگذارید

خوانندگان به پشتیبانی از MSpoweruser کمک می کنند. در صورت خرید از طریق پیوندهای ما ممکن است کمیسیون دریافت کنیم. نماد راهنمای ابزار

صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب

Windows Remote Desktop Services به کاربران این امکان را می‌دهد تا درایوهای محلی را با مجوز خواندن و نوشتن، تحت موقعیت شبکه مجازی "tsclient" (+ حرف درایو) در یک سرور پایانی به اشتراک بگذارند.

تحت اتصال از راه دور، مجرمان سایبری می توانند ماینرهای ارزهای دیجیتال، دزدان اطلاعات و باج افزار را به دیگران منتقل کنند. و از آنجایی که در رم است، آنها می توانند این کار را بدون گذاشتن ردپایی انجام دهند.

از فوریه 2018، هکرها از مؤلفه «worker.exe» استفاده کرده و آن را به همراه کوکتل‌های بدافزار برای جمع‌آوری جزئیات سیستم زیر ارسال می‌کنند.

  • اطلاعات سیستم: معماری، مدل CPU، تعداد هسته ها، اندازه RAM، نسخه ویندوز
  • نام دامنه، امتیازات کاربر وارد شده، لیست کاربران در دستگاه
  • آدرس IP محلی، سرعت آپلود و دانلود، اطلاعات IP عمومی که توسط سرویس ip-score.com برگردانده شده است
  • مرورگر پیش‌فرض، وضعیت پورت‌های خاص روی هاست، بررسی سرورهای در حال اجرا و گوش دادن به پورت آن‌ها، ورودی‌های خاص در حافظه پنهان DNS (عمدتاً اگر سعی در اتصال به دامنه خاصی داشته باشد)
  • بررسی اینکه آیا فرآیندهای خاصی در حال اجرا هستند، وجود کلیدها و مقادیر خاص در رجیستری

علاوه بر این، این مؤلفه توانایی گرفتن اسکرین شات و شمارش تمام اشتراک‌های شبکه متصل که به صورت محلی نقشه‌برداری شده‌اند را دارد.

طبق گزارش‌ها، «worker.exe» حداقل سه دزد کلیپ‌بورد مجزا از جمله MicroClip، DelphiStealer و IntelRapid را اجرا کرده است. و همچنین دو خانواده باج افزار - Rapid، Rapid 2.0 و Nemty، و بسیاری از ماینرهای ارز دیجیتال Monero مبتنی بر XMRig. از سال 2018، از دزد اطلاعات AZORult نیز استفاده می کند.

دزدان کلیپ بورد با جایگزین کردن آدرس کیف پول رمزنگاری کاربر با آدرس هکر کار می کنند، به این معنی که تمام وجوه بعدی را دریافت خواهند کرد. حتی سخت‌کوش‌ترین کاربران را می‌توان با «مکانیسم امتیازدهی پیچیده» فریب داد، که بیش از 1,300 آدرس را برای یافتن آدرس‌های جعلی، که شروع و پایان آن با آدرس قربانی یکسان است، بررسی می‌کند.

تخمین زده می شود که دزدان کلیپ بورد حدود 150,000 دلار بازده داشته باشند - اگرچه این رقم بدون شک در واقعیت بسیار بیشتر است.

"از نظر دورسنجی ما، به نظر نمی رسد که این کمپین ها صنایع خاصی را هدف قرار دهند، در عوض سعی می کنند تا حد امکان به قربانیان بیشتری دسترسی پیدا کنند." - Bitdefender

خوشبختانه می توان اقدامات پیشگیرانه ای انجام داد که از شما در برابر این نوع حملات محافظت می کند. این را می توان با فعال کردن تغییر مسیر درایو از لیستی از سیاست های گروه انجام داد. این گزینه با دنبال کردن این مسیر در اپلت پیکربندی کامپیوتر در دسترس است:

پیکربندی رایانه > قالب های اداری > اجزای ویندوز > خدمات دسکتاپ از راه دور > میزبان جلسه دسکتاپ از راه دور > تغییر مسیر دستگاه و منابع

جزئیات بیشتر درباره حملات را در اینجا بخوانید بلیپینگ کامپیوتر اینجا.

از طریق: تکداتور 

بیشتر در مورد موضوعات: هکر

آتیا دیویدز

آتیا دیویدز سپر

گزارشگر اخبار