Hakkerit voivat tuhota tietokoneesi jättämättä jälkeä RDP-palveluiden avulla – näin voit suojata itsesi

Lukuajan kuvake 2 min. lukea


Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Windows Remote Desktop Services -palvelun avulla käyttäjät voivat jakaa paikallisia asemia päätepalvelimeen luku- ja kirjoitusoikeuksilla virtuaalisen verkkosijainnin "tsclient" alla (+ aseman kirjain).

Etäyhteydellä kyberrikolliset voivat levittää kryptovaluuttakaivostyöntekijöitä, tietovarastoja ja kiristysohjelmia; ja koska se on RAM-muistissa, he voivat tehdä sen jättämättä jalanjälkiä taakse.

Helmikuusta 2018 lähtien hakkerit ovat käyttäneet "worker.exe" -komponenttia hyväkseen ja lähettäneet sen yhdessä haittaohjelmien kanssa kerätäkseen seuraavat järjestelmätiedot.

  • Järjestelmätiedot: arkkitehtuuri, suorittimen malli, ytimien määrä, RAM-muistin koko, Windows-versio
  • verkkotunnuksen nimi, kirjautuneen käyttäjän oikeudet, luettelo koneen käyttäjistä
  • paikallinen IP-osoite, lataus- ja latausnopeus, julkiset IP-tiedot ip-score.com-palvelun palauttamina
  • oletusselain, isäntäkoneen tiettyjen porttien tila, käynnissä olevien palvelimien tarkistaminen ja niiden portin kuuntelu, tietyt merkinnät DNS-välimuistissa (pääasiassa jos se yritti muodostaa yhteyden tiettyyn verkkotunnukseen)
  • tarkistaa, ovatko tietyt prosessit käynnissä, tiettyjen avainten ja arvojen olemassaolo rekisterissä

Lisäksi komponentilla on mahdollisuus ottaa kuvakaappauksia ja luetella kaikki paikallisesti kartoitetut liitetyt verkko-osuudet.

"worker.exe" on raportoitu suorittaneen ainakin kolmea erillistä leikepöydän varastamista, mukaan lukien MicroClip, DelphiStealer ja IntelRapid; sekä kaksi ransomware-perhettä - Rapid, Rapid 2.0 ja Nemty sekä monet Monero kryptovaluuttakaivostyöntekijät, jotka perustuvat XMRigiin. Vuodesta 2018 lähtien se on myös käyttänyt AZORultin tietovarastajaa.

Leikepöydän varastajat toimivat korvaamalla käyttäjän kryptovaluuttalompakkoosoitteen hakkerin osoitteella, mikä tarkoittaa, että he saavat kaikki myöhemmät varat. Uhkeimmatkin käyttäjät voidaan huijata "monimutkaisella pisteytysmekanismilla", joka seuloa yli 1,300 XNUMX osoitetta löytääkseen väärennettyjä osoitteita, joiden alku ja loppu ovat samat kuin uhrin.

Leikepöydän varastajien arvioidaan tuottaneen noin 150,000 XNUMX dollaria – vaikka tämä luku on epäilemättä paljon suurempi todellisuudessa.

"Telemetriamme perusteella nämä kampanjat eivät näytä kohdistuvan tietyille toimialoille, vaan yrittävät tavoittaa mahdollisimman monta uhria" - Bitdefender

Onneksi voidaan ryhtyä varotoimenpiteisiin, jotka suojaavat sinua tämäntyyppisiltä hyökkäyksiltä. Tämä voidaan tehdä ottamalla käyttöön aseman uudelleenohjaus ryhmäkäytäntöjen luettelosta. Vaihtoehto on käytettävissä seuraamalla tätä polkua tietokoneen asetussovelmassa:

Tietokoneen asetukset > Hallintamallit > Windows-komponentit > Etätyöpöytäpalvelut > Etätyöpöytäistunnon isäntä > Laitteiden ja resurssien uudelleenohjaus

Lue lisää hyökkäyksistä osoitteessa bleepingcomputer tästä.

kautta: techdator 

Käyttäjäfoorumi

0-viestit