Hackere kan pwn PC-en din uten å etterlate spor ved å bruke RDP-tjenester - her er hvordan du sikrer deg selv

Windows Remote Desktop Services gjør det mulig for brukere å dele lokale stasjoner til en terminalserver med lese- og skrivetillatelser, under virtuell nettverksplassering "tsclient" (+ bokstaven til stasjonen).

Under ekstern tilkobling kan nettkriminelle gi kryptovalutagruvearbeidere, info-tyvere og løsepengevare; og siden det er i RAM, kan de gjøre det uten å etterlate noen fotspor.

Siden februar 2018 har hackere benyttet seg av 'worker.exe'-komponenten, og sendt den sammen med malware-cocktailer for å samle inn følgende systemdetaljer.

• Systeminformasjon: arkitektur, CPU-modell, antall kjerner, RAM-størrelse, Windows-versjon
• domenenavn, privilegier til den loggede brukeren, liste over brukere på maskinen
• lokal IP-adresse, opplastings- og nedlastingshastighet, offentlig IP-informasjon som returneres av tjenesten fra ip-score.com
• standard nettleser, status for spesifikke porter på verten, se etter kjørende servere og lytte på porten deres, spesifikke oppføringer i DNS-cachen (hovedsakelig hvis den prøvde å koble til et bestemt domene)
• sjekke om visse prosesser kjører, eksistensen av spesifikke nøkler og verdier i registeret

I tillegg har komponenten muligheten til å ta skjermbilder og telle opp alle tilkoblede nettverksandeler som er kartlagt lokalt.

"worker.exe" har etter sigende utført minst tre separate utklippstavler, inkludert MicroClip, DelphiStealer og IntelRapid; samt to løsepengevarefamilier - Rapid, Rapid 2.0 og Nemty, og mange Monero-kryptovalutagruvearbeidere basert på XMRig. Siden 2018 har den også brukt AZORult info-tyver.

Utklippstavlens stjelere fungerer ved å erstatte en brukers kryptovaluta-lommebokadresse med hackerens, noe som betyr at de vil motta alle påfølgende midler. Selv de mest flittige brukerne kan bli lurt med den "komplekse scoringsmekanismen", som siler gjennom over 1,300 adresser for å finne falske adresser, hvis start og slutt er identisk med offerets.

Utklippstavletyvere anslås å ha gitt rundt $150,000 XNUMX - selv om dette tallet utvilsomt er mye høyere i virkeligheten.

"Fra vår telemetri ser det ikke ut til at disse kampanjene er målrettet mot spesifikke bransjer, de prøver i stedet å nå så mange ofre som mulig" - Bitdefender

Heldigvis kan det tas forholdsregler, som vil beskytte deg mot denne typen angrep. Dette kan gjøres ved å aktivere stasjonsomdirigering fra en liste over gruppepolicyer. Alternativet er tilgjengelig ved å følge denne banen i datamaskinens konfigurasjonsapplet:

Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > Eksternt skrivebordstjenester > Eksternt skrivebord-øktvert > Omdirigering av enhet og ressurser

Les mer om angrepene i detalj på datamaskinen her.

via: techdator