Hakerzy mogą przechwycić Twój komputer bez pozostawiania śladów, korzystając z usług RDP — oto jak się zabezpieczyć

Strona główna » Microsoft

Ikona czasu czytania 2 minuta. czytać

Ikona kalendarza Zaktualizowano na

by Atiya Davids 

zaktualizowany

Udostępnij ten artykuł

Czytelnicy pomagają wspierać MSpoweruser. Możemy otrzymać prowizję, jeśli dokonasz zakupu za pośrednictwem naszych linków. Ikona podpowiedzi

Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej

Usługi pulpitu zdalnego systemu Windows umożliwiają użytkownikom udostępnianie lokalnych dysków serwerowi terminali z uprawnieniami do odczytu i zapisu w lokalizacji sieci wirtualnej „tsclient” (+ litera dysku).

W przypadku połączenia zdalnego cyberprzestępcy mogą przekazywać kopacze kryptowalut, złodzieje informacji i oprogramowanie ransomware; a ponieważ jest w pamięci RAM, mogą to zrobić bez pozostawiania śladów.

Od lutego 2018 r. hakerzy wykorzystują składnik „worker.exe”, wysyłając go wraz z koktajlami złośliwego oprogramowania, aby zebrać następujące szczegóły systemu.

  • Informacje o systemie: architektura, model procesora, liczba rdzeni, rozmiar pamięci RAM, wersja systemu Windows
  • nazwa domeny, uprawnienia zalogowanego użytkownika, lista użytkowników na komputerze
  • lokalny adres IP, prędkość wysyłania i pobierania, publiczne informacje IP zwracane przez serwis ip-score.com
  • domyślna przeglądarka, stan konkretnych portów na hoście, sprawdzanie czy serwery są uruchomione i nasłuchiwanie na ich porcie, konkretne wpisy w pamięci podręcznej DNS (głównie jeśli próbował połączyć się z określoną domeną)
  • sprawdzenie, czy określone procesy są uruchomione, czy istnieją określone klucze i wartości w rejestrze

Dodatkowo komponent ma możliwość robienia zrzutów ekranu i wyliczania wszystkich podłączonych udziałów sieciowych, które są mapowane lokalnie.

„worker.exe” podobno wykonał co najmniej trzy oddzielne kradzieże schowka, w tym MicroClip, DelphiStealer i IntelRapid; a także dwie rodziny ransomware — Rapid, Rapid 2.0 i Nemty oraz wiele koparek kryptowalut Monero opartych na XMRig. Od 2018 roku korzysta również ze złodzieja informacji AZORult.

Złodzieje schowka polegają na zastąpieniu adresu portfela kryptowaluty użytkownika adresem hakera, co oznacza, że ​​otrzymają wszystkie kolejne środki. Nawet najbardziej pilnych użytkowników można oszukać „złożonym mechanizmem punktacji”, który przeszukuje ponad 1,300 adresów, aby znaleźć fałszywe adresy, których początek i koniec są identyczne z adresem ofiary.

Szacuje się, że złodzieje schowków zarobili około 150,000 XNUMX USD – choć w rzeczywistości liczba ta jest niewątpliwie znacznie wyższa.

„Z naszej telemetrii wydaje się, że te kampanie nie są skierowane do konkretnych branż, zamiast tego starają się dotrzeć do jak największej liczby ofiar” – Bitdefender

Na szczęście można podjąć środki ostrożności, które uchronią Cię przed tego typu atakiem. Można to zrobić, włączając przekierowanie dysku z listy zasad grupy. Opcja jest dostępna, podążając tą ścieżką w aplecie konfiguracji komputera:

Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Usługi pulpitu zdalnego > Host sesji pulpitu zdalnego > Przekierowanie urządzeń i zasobów

Przeczytaj więcej o atakach szczegółowo na komputer z dźwiękiem tutaj.

przez: techdator 

Więcej na tematy: haker

Atiya Davids

Atiya Davids Tarcza

News Reporter