Hackers kunnen uw pc pwnen zonder een spoor achter te laten met behulp van RDP-services. Zo kunt u uzelf beveiligen

Home » Microsoft

Pictogram voor leestijd 2 minuut. lezen

Kalender pictogram Bijgewerkt op

by Atiya Davids 

bijgewerkt

deel dit artikel

Lezers helpen MSpoweruser ondersteunen. We kunnen een commissie krijgen als u via onze links koopt. Tooltip-pictogram

Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer

Met Windows Remote Desktop Services kunnen gebruikers lokale schijven delen met een Terminal Server met lees- en schrijfrechten, onder de virtuele netwerklocatie "tsclient" (+ de letter van de schijf).

Bij een externe verbinding kunnen cybercriminelen cryptocurrency-mijnwerkers, info-stealers en ransomware overbrengen; en aangezien het in het RAM zit, kunnen ze dit doen zonder sporen achter te laten.

Sinds februari 2018 maken hackers gebruik van de component 'worker.exe' en sturen deze samen met malwarecocktails om de volgende systeemdetails te verzamelen.

  • Systeeminformatie: architectuur, CPU-model, aantal cores, RAM-grootte, Windows-versie
  • domeinnaam, privileges van de aangemelde gebruiker, lijst met gebruikers op de machine
  • lokaal IP-adres, upload- en downloadsnelheid, openbare IP-informatie zoals geretourneerd door de service van ip-score.com
  • standaardbrowser, status van specifieke poorten op de host, controleren op actieve servers en luisteren op hun poort, specifieke vermeldingen in de DNS-cache (voornamelijk als het probeerde verbinding te maken met een bepaald domein)
  • controleren of bepaalde processen actief zijn, bestaan ​​van specifieke sleutels en waarden in het register

Bovendien heeft het onderdeel de mogelijkheid om schermafbeeldingen te maken en alle verbonden netwerkshares op te sommen die lokaal zijn toegewezen.

"worker.exe" heeft naar verluidt ten minste drie afzonderlijke klembord-stealers uitgevoerd, waaronder MicroClip, DelphiStealer en IntelRapid; evenals twee ransomware-families - Rapid, Rapid 2.0 en Nemty, en veel Monero cryptocurrency-mijnwerkers op basis van XMRig. Sinds 2018 maakt het ook gebruik van de AZORult info-stealer.

De klembord-stealers werken door het cryptocurrency-portemonnee-adres van een gebruiker te vervangen door dat van de hacker, wat betekent dat ze al het volgende geld ontvangen. Zelfs de meest ijverige gebruikers kunnen voor de gek gehouden worden met het "complexe scoremechanisme", dat meer dan 1,300 adressen doorzoekt om valse adressen te vinden, waarvan het begin en einde identiek zijn aan dat van het slachtoffer.

Klembordstelen hebben naar schatting ongeveer $ 150,000 opgebracht, hoewel dit cijfer in werkelijkheid ongetwijfeld veel hoger is.

"Uit onze telemetrie blijkt dat deze campagnes niet gericht zijn op specifieke sectoren, maar in plaats daarvan proberen zoveel mogelijk slachtoffers te bereiken" - Bitdefender

Gelukkig kunnen er voorzorgsmaatregelen worden genomen die u beschermen tegen dit soort aanvallen. Dit kan worden gedaan door stationsomleiding in te schakelen vanuit een lijst met groepsbeleidsregels. De optie is beschikbaar door dit pad te volgen in de computerconfiguratie-applet:

Computerconfiguratie > Beheersjablonen > Windows-componenten > Extern bureaublad-services > Extern bureaublad-sessiehost > Apparaat- en bronomleiding

Lees meer over de aanslagen in detail op: BeginnersWeb hier.

via: techneut 

Meer over de onderwerpen: hacker

Atiya Davids

Atiya Davids Schild

Verslaggever