해커는 RDP 서비스를 사용하여 흔적을 남기지 않고 PC를 보호할 수 있습니다. 자신을 보호하는 방법은 다음과 같습니다.

Windows 원격 데스크톱 서비스를 사용하면 가상 네트워크 위치 "tsclient"(+ 드라이브 문자)에서 읽기 및 쓰기 권한이 있는 터미널 서버와 로컬 드라이브를 공유할 수 있습니다.

원격 연결에서 사이버 범죄자는 암호화폐 광부, 정보 스틸러 및 랜섬웨어를 전달할 수 있습니다. RAM에 있기 때문에 발자국을 남기지 않고 그렇게 할 수 있습니다.

2018년 XNUMX월부터 해커는 'worker.exe' 구성 요소를 이용하여 악성 코드 칵테일과 함께 전송하여 다음 시스템 세부 정보를 수집합니다.

• 시스템 정보: 아키텍처, CPU 모델, 코어 수, RAM 크기, Windows 버전
• 도메인 이름, 로그인한 사용자의 권한, 시스템의 사용자 목록
• 로컬 IP 주소, 업로드 및 다운로드 속도, ip-score.com 서비스에서 반환된 공용 IP 정보
• 기본 브라우저, 호스트의 특정 포트 상태, 실행 중인 서버 확인 및 해당 포트에서 수신 대기, DNS 캐시의 특정 항목(주로 특정 도메인에 연결을 시도하는 경우)
• 특정 프로세스가 실행 중인지 확인, 레지스트리에 특정 키 및 값 존재

또한 구성 요소에는 스크린샷을 찍고 로컬로 매핑된 연결된 모든 네트워크 공유를 열거하는 기능이 있습니다.

"worker.exe"는 MicroClip, DelphiStealer 및 IntelRapid를 포함하여 최소 2.0개의 개별 클립보드 스틸러를 실행하고 있는 것으로 알려졌습니다. Rapid, Rapid 2018 및 Nemty의 두 랜섬웨어 제품군과 XMRig를 기반으로 하는 많은 Monero 암호화폐 채굴기. XNUMX년부터 AZORult 정보 스틸러도 사용하고 있습니다.

클립보드 스틸러는 사용자의 암호 화폐 지갑 주소를 해커의 주소로 대체하여 작동합니다. 즉, 모든 후속 자금을 받게 됩니다. 가장 부지런한 사용자라도 1,300개 이상의 주소를 샅샅이 뒤지며 시작과 끝이 피해자의 주소와 동일한 가짜 주소를 찾는 "복잡한 점수 매기기 메커니즘"에 속을 수 있습니다.

클립보드 훔치는 사람들은 약 150,000달러를 벌어들인 것으로 추정되지만 이 수치는 의심할 여지 없이 실제로 훨씬 더 높습니다.

"원격 분석에서 이러한 캠페인은 특정 산업을 대상으로 하지 않고 가능한 한 많은 피해자에게 다가가려고 하는 것 같습니다." – Bitdefender

다행히 이러한 유형의 공격으로부터 사용자를 보호할 수 있는 예방 조치를 취할 수 있습니다. 이는 그룹 정책 목록에서 드라이브 리디렉션을 활성화하여 수행할 수 있습니다. 이 옵션은 컴퓨터 구성 애플릿에서 다음 경로를 따라 사용할 수 있습니다.

컴퓨터 구성 > 관리 템플릿 > Windows 구성 요소 > 원격 데스크톱 서비스 > 원격 데스크톱 세션 호스트 > 장치 및 리소스 리디렉션

공격에 대해 자세히 알아보기 블리핑 컴퓨터 여기를 클릭해 문의해주세요.

과 연락해주세요. 기술자