Hekerji lahko ukradejo vaš računalnik, ne da bi zapustili sled s storitvami RDP - tukaj je, kako se zavarovati

Domov » Microsoft

Ikona časa branja 2 min. prebrati

Ikona koledarja Posodobljeno dne

by Atiya Davids 

posodobljeno dne

Dajte v skupno rabo ta članek

Bralci pomagajo pri podpori MSpoweruser. Če kupujete prek naših povezav, lahko prejmemo provizijo. Ikona opisa orodja

Preberite našo stran za razkritje, če želite izvedeti, kako lahko pomagate MSPoweruser vzdrževati uredniško skupino Preberi več

Storitve oddaljenega namizja Windows uporabnikom omogočajo skupno rabo lokalnih pogonov s terminalskim strežnikom z dovoljenji za branje in pisanje pod lokacijo navideznega omrežja »tsclient« (+ črka pogona).

Pod oddaljeno povezavo lahko kibernetski kriminalci posredujejo rudarje kriptovalut, kraje informacij in izsiljevalsko programsko opremo; in ker je v RAM-u, lahko to storijo, ne da bi za seboj pustili sledi.

Od februarja 2018 hekerji izkoriščajo prednost komponente 'worker.exe' in jo pošiljajo skupaj z zlonamerno programsko opremo, da zberejo naslednje sistemske podatke.

  • Sistemske informacije: arhitektura, model procesorja, število jeder, velikost RAM-a, različica sistema Windows
  • ime domene, privilegije prijavljenega uporabnika, seznam uporabnikov na napravi
  • lokalni IP naslov, hitrost nalaganja in prenosa, javne informacije IP, kot jih vrne storitev ip-score.com
  • privzeti brskalnik, stanje določenih vrat na gostitelju, preverjanje delovanja strežnikov in poslušanje njihovih vrat, specifični vnosi v predpomnilniku DNS (predvsem, če se je poskušal povezati z določeno domeno)
  • preverjanje, ali se nekateri procesi izvajajo, obstoj določenih ključev in vrednosti v registru

Poleg tega ima komponenta možnost, da naredi posnetke zaslona in našteje vse povezane omrežne skupne rabe, ki so lokalno preslikane.

"worker.exe" naj bi izvajal vsaj tri ločene kraje odložišča, vključno z MicroClip, DelphiStealer in IntelRapid; pa tudi dve družini izsiljevalske programske opreme – Rapid, Rapid 2.0 in Nemty ter številni rudarji kriptovalut Monero, ki temeljijo na XMRig. Od leta 2018 uporablja tudi kradljivko informacij AZORult.

Kradljivci odložišča delujejo tako, da zamenjajo uporabniški naslov denarnice za kriptovalute s hekerjevim, kar pomeni, da bodo prejeli vsa nadaljnja sredstva. Tudi najbolj prizadevne uporabnike je mogoče preslepiti s »kompleksnim mehanizmom točkovanja«, ki prebere več kot 1,300 naslovov, da najde lažne naslove, katerih začetek in konec sta enaka žrtvinemu.

Ocenjuje se, da so kraje odložišča prinesle okoli 150,000 $, čeprav je ta številka v resnici nedvomno veliko višja.

"Iz naše telemetrije se zdi, da te kampanje ne ciljajo na določene industrije, temveč poskušajo doseči čim več žrtev" – Bitdefender

Na srečo je mogoče sprejeti previdnostne ukrepe, ki vas bodo zaščitili pred tovrstnim napadom. To lahko storite tako, da omogočite preusmeritev pogona s seznama pravilnikov skupine. Možnost je na voljo tako, da sledite tej poti v programčku za konfiguracijo računalnika:

Konfiguracija računalnika > Skrbniške predloge > Komponente Windows > Storitve oddaljenega namizja > Gostitelj seje oddaljenega namizja > Preusmeritev naprav in virov

Več o napadih si preberite na bleepingračunalnik tukaj.

preko: techdator 

Več o temah: heker

Atiya Davids

Atiya Davids Shield

Novinar