Hackeri môžu zablokovať váš počítač bez zanechania stopy pomocou služieb RDP – tu je návod, ako sa zabezpečiť

Domov » Microsoft

Ikona času čítania 2 min. čítať

Ikona kalendára Aktualizované na

by Atiya Davids 

aktualizované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Služba Windows Remote Desktop Services umožňuje používateľom zdieľať lokálne jednotky s terminálovým serverom s povoleniami na čítanie a zápis pod umiestnením virtuálnej siete „tsclient“ (+ písmeno disku).

V rámci vzdialeného pripojenia môžu kyberzločinci šíriť ťažiarov kryptomien, zlodejov informácií a ransomvér; a keďže je to v pamäti RAM, môžu to urobiť bez toho, aby za sebou zanechali stopy.

Od februára 2018 hackeri využívajú komponent „worker.exe“ a posielajú ho spolu s koktailmi škodlivého softvéru, aby zhromaždili nasledujúce podrobnosti o systéme.

  • Informácie o systéme: architektúra, model procesora, počet jadier, veľkosť pamäte RAM, verzia systému Windows
  • názov domény, oprávnenia prihláseného používateľa, zoznam používateľov na stroji
  • lokálna IP adresa, rýchlosť nahrávania a sťahovania, verejná IP informácia vrátená službou ip-score.com
  • predvolený prehliadač, stav konkrétnych portov na hostiteľovi, kontrola spustených serverov a počúvanie na ich porte, konkrétne položky v vyrovnávacej pamäti DNS (hlavne ak sa pokúšal pripojiť k určitej doméne)
  • kontrola, či sú spustené určité procesy, existencia špecifických kľúčov a hodnôt v registri

Okrem toho má komponent schopnosť robiť snímky obrazovky a vymenovať všetky pripojené sieťové zdieľania, ktoré sú mapované lokálne.

„worker.exe“ údajne spustil najmenej tri samostatné krádeže schránky, vrátane MicroClip, DelphiStealer a IntelRapid; ako aj dve rodiny ransomvéru – Rapid, Rapid 2.0 a Nemty a mnoho ťažiarov kryptomien Monero založených na XMRig. Od roku 2018 využíva aj AZORult info-stealer.

Zlodeji schránky fungujú tak, že nahrádzajú adresu kryptomenovej peňaženky používateľa adresou hackera, čo znamená, že dostanú všetky následné prostriedky. Dokonca aj tí najusilovnejší používatelia môžu byť oklamaní „zložitým skórovacím mechanizmom“, ktorý prehľadáva viac ako 1,300 XNUMX adries, aby našiel falošné adresy, ktorých začiatok a koniec sú identické s adresou obete.

Odhaduje sa, že vykrádači schránky vyniesli okolo 150,000 XNUMX dolárov – hoci toto číslo je v skutočnosti nepochybne oveľa vyššie.

„Z našej telemetrie sa nezdá, že tieto kampane sa zameriavajú na konkrétne odvetvia, ale snažia sa osloviť čo najviac obetí“ – Bitdefender

Našťastie sa dajú urobiť preventívne opatrenia, ktoré vás pred takýmto typom útoku ochránia. Dá sa to dosiahnuť povolením presmerovania jednotky zo zoznamu zásad skupiny. Táto možnosť je dostupná po tejto ceste v aplete konfigurácie počítača:

Konfigurácia počítača > Šablóny pre správu > Súčasti systému Windows > Služby vzdialenej pracovnej plochy > Hostiteľ relácie vzdialenej pracovnej plochy > Presmerovanie zariadení a prostriedkov

Prečítajte si viac o útokoch podrobne na pípajúci počítač tu.

via: techdator 

Viac o témach: průnikář

Atiya Davids

Atiya Davids Shield

Novinár