האקרים יכולים להפעיל את המחשב האישי שלך מבלי להשאיר עקבות באמצעות שירותי RDP - הנה איך לאבטח את עצמך

עמוד הבית » מיקרוסופט

סמל זמן קריאה 2 דקות לקרוא

סמל לוח השנה עודכן בתאריך

by עטיה דוידס 

מעודכן ב

שתף את המאמר הזה

קוראים עוזרים לתמוך ב-MSpoweruser. אנו עשויים לקבל עמלה אם תקנה דרך הקישורים שלנו. סמל טיפים

קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד

שירותי שולחן העבודה המרוחק של Windows מאפשרים למשתמשים לשתף כוננים מקומיים עם שרת מסוף עם הרשאות קריאה וכתיבה, תחת מיקום רשת וירטואלית "tsclient" (+ האות של הכונן).

בחיבור מרחוק, פושעי סייבר יכולים להקנות לכורי מטבעות קריפטוגרפיים, גונבי מידע ותוכנות כופר; ומכיוון שהוא ב-RAM, הם יכולים לעשות זאת מבלי להשאיר עקבות מאחור.

מאז פברואר 2018, האקרים מנצלים את רכיב 'worker.exe', ושולחים אותו יחד עם קוקטיילים של תוכנות זדוניות כדי לאסוף את פרטי המערכת הבאים.

  • מידע מערכת: ארכיטקטורה, דגם מעבד, מספר הליבות, גודל זיכרון RAM, גרסת Windows
  • שם תחום, הרשאות המשתמש המחובר, רשימת משתמשים במחשב
  • כתובת IP מקומית, מהירות העלאה והורדה, מידע IP ציבורי כפי שמוחזר על ידי שירות מאת ip-score.com
  • דפדפן ברירת מחדל, מצב של יציאות ספציפיות במארח, בדיקת שרתים פועלים והאזנה ביציאה שלהם, ערכים ספציפיים במטמון ה-DNS (בעיקר אם הוא ניסה להתחבר לדומיין מסוים)
  • בדיקה אם תהליכים מסוימים פועלים, קיומם של מפתחות וערכים ספציפיים ברישום

בנוסף, לרכיב יש את היכולת לצלם צילומי מסך ולמנות את כל שיתופי הרשת המחוברים הממופים באופן מקומי.

על פי הדיווחים, "worker.exe" הוציא לפועל לפחות שלושה גונבי לוח נפרדים, כולל MicroClip, DelphiStealer ו-IntelRapid; כמו גם שתי משפחות תוכנות כופר- Rapid, Rapid 2.0 ו-Nemty, וכורי מטבעות קריפטוגרפיים רבים של Monero המבוססים על XMRig. מאז 2018, הוא משתמש גם בגניבת המידע AZORult.

גונבי הלוח פועלים על ידי החלפת כתובת ארנק מטבעות קריפטוגרפיים של משתמש בכתובת של ההאקר, כלומר הם יקבלו את כל הכספים הבאים. אפילו את המשתמשים החרוצים ביותר אפשר לרמות עם "מנגנון הניקוד המורכב", המסנן מעל 1,300 כתובות כדי למצוא כתובות מזויפות, שההתחלה והסוף שלהן זהים לאלו של הקורבן.

על פי ההערכות, גונבי הלוח הניבו כ-150,000 דולר - אם כי נתון זה ללא ספק גבוה בהרבה במציאות.

"מהטלמטריה שלנו, נראה שהקמפיינים האלה לא מכוונים לתעשיות ספציפיות, אלא מנסים להגיע לכמה שיותר קורבנות" - Bitdefender

למרבה המזל, ניתן לנקוט באמצעי זהירות, אשר יגנו עליך מפני תקיפה מסוג זה. ניתן לעשות זאת על ידי הפעלת הפניית כונן מרשימה של מדיניות קבוצתית. האפשרות זמינה על ידי ביצוע הנתיב הזה ביישומון תצורת המחשב:

תצורת מחשב > תבניות ניהול > רכיבי Windows > שירותי שולחן עבודה מרוחק > מארח הפעלה של שולחן עבודה מרוחק > ניתוב מחדש של מכשיר ומשאב

קרא עוד על ההתקפות בפירוט בכתובת מחשב מצמץ כאן.

בְּאֶמצָעוּת: techdator 

עטיה דוידס

עטיה דוידס מגן

כתב חדשות

פורום משתמשים

0 הודעות