Хакеры могут взломать ваш компьютер, не оставив следов, с помощью служб RDP: вот как обезопасить себя

Главная » Microsoft

Значок времени чтения 2 минута. читать

Значок календаря Обновление

by Атия Давидс 

обновление

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Службы удаленных рабочих столов Windows позволяют пользователям совместно использовать локальные диски на сервере терминалов с разрешениями на чтение и запись в виртуальном сетевом расположении «tsclient» (+ буква диска).

При удаленном подключении киберпреступники могут распространять майнеры криптовалюты, похитители информации и программы-вымогатели; и поскольку он находится в оперативной памяти, они могут делать это, не оставляя следов.

С февраля 2018 года хакеры используют компонент worker.exe, отправляя его вместе с коктейлями вредоносных программ для сбора следующих сведений о системе.

  • Информация о системе: архитектура, модель процессора, количество ядер, объем оперативной памяти, версия Windows.
  • доменное имя, привилегии зарегистрированного пользователя, список пользователей на машине
  • локальный IP-адрес, скорость загрузки и выгрузки, информация об общедоступном IP-адресе, возвращаемая службой from ip-score.com
  • браузер по умолчанию, состояние определенных портов на хосте, проверка работающих серверов и прослушивание их порта, определенные записи в кеше DNS (в основном, если он пытался подключиться к определенному домену)
  • проверка того, запущены ли определенные процессы, наличие определенных ключей и значений в реестре

Кроме того, компонент имеет возможность делать снимки экрана и перечислять все подключенные общие сетевые ресурсы, которые сопоставлены локально.

Сообщается, что «worker.exe» запускал как минимум три отдельных похитителя буфера обмена, включая MicroClip, DelphiStealer и IntelRapid; а также два семейства программ-вымогателей — Rapid, Rapid 2.0 и Nemty, а также множество майнеров криптовалюты Monero на основе XMRig. С 2018 года также используется инфостилер AZORult.

Похитители буфера обмена работают, заменяя адрес кошелька криптовалюты пользователя адресом хакера, что означает, что они получат все последующие средства. Даже самых прилежных пользователей можно обмануть «сложным механизмом подсчета очков», который перебирает более 1,300 адресов, чтобы найти поддельные адреса, начало и конец которых идентичны адресам жертвы.

По оценкам, похитители буфера обмена принесли около 150,000 XNUMX долларов, хотя в действительности эта цифра, несомненно, намного выше.

«Судя по нашей телеметрии, эти кампании не нацелены на конкретные отрасли, а пытаются охватить как можно больше жертв», — Bitdefender.

К счастью, можно принять меры предосторожности, которые защитят вас от такого типа атак. Это можно сделать, включив перенаправление дисков из списка групповых политик. Опция доступна, следуя по этому пути в апплете конфигурации компьютера:

Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Перенаправление устройств и ресурсов

Подробнее об атаках читайте на bleepingcomputer здесь.

с помощью: технический специалист 

Подробнее о темах: хакер

Атия Давидс

Атия Давидс Щит

Репортер