Hackare kan pwn din PC utan att lämna ett spår med hjälp av RDP-tjänster - så här säkrar du dig själv

Hem » Microsoft

Lästid ikon 2 min. läsa

Kalenderikonen Uppdaterad den

by Atiya Davids 

uppdateras

Dela den här artikeln

Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

Windows Remote Desktop Services gör det möjligt för användare att dela lokala enheter till en terminalserver med läs- och skrivbehörigheter, under virtuell nätverksplats "tsclient" (+ enhetens bokstav).

Under fjärranslutning kan cyberbrottslingar förmedla gruvarbetare för kryptovaluta, info-stöldare och ransomware; och eftersom det är i RAM, kan de göra det utan att lämna några fotspår efter sig.

Sedan februari 2018 har hackare utnyttjat "worker.exe"-komponenten och skickat den tillsammans med skadliga cocktails för att samla in följande systemdetaljer.

  • Systeminformation: arkitektur, CPU-modell, antal kärnor, RAM-storlek, Windows-version
  • domännamn, behörigheter för den inloggade användaren, lista över användare på maskinen
  • lokal IP-adress, uppladdnings- och nedladdningshastighet, offentlig IP-information som returneras av tjänsten från ip-score.com
  • standardwebbläsare, status för specifika portar på värden, kolla efter körande servrar och lyssna på deras port, specifika poster i DNS-cachen (främst om den försökte ansluta till en viss domän)
  • kontrollera om vissa processer körs, förekomsten av specifika nycklar och värden i registret

Dessutom har komponenten möjlighet att ta skärmdumpar och räkna upp alla anslutna nätverksresurser som är mappade lokalt.

"worker.exe" har enligt uppgift kört minst tre separata klippbordsstölder, inklusive MicroClip, DelphiStealer och IntelRapid; samt två ransomware-familjer - Rapid, Rapid 2.0 och Nemty, och många Monero-kryptovalutagruvarbetare baserade på XMRig. Sedan 2018 har den också använt AZORult info-stealer.

Urklippstjularna fungerar genom att ersätta en användares kryptovaluta-plånboksadress med hackarens, vilket innebär att de kommer att få alla efterföljande pengar. Även de mest flitiga användare kan luras med den "komplexa poängmekanismen", som sållar igenom över 1,300 XNUMX adresser för att hitta falska adresser, vars början och slut är identiska med offrets.

Urklippsstjälare beräknas ha gett runt $150,000 XNUMX - även om denna siffra utan tvekan är mycket högre i verkligheten.

"Från vår telemetri verkar dessa kampanjer inte rikta sig mot specifika branscher, utan försöker istället nå så många offer som möjligt" - Bitdefender

Lyckligtvis kan försiktighetsåtgärder vidtas, som skyddar dig mot denna typ av attack. Detta kan göras genom att aktivera enhetsomdirigering från en lista med grupppolicyer. Alternativet är tillgängligt genom att följa den här sökvägen i datorkonfigurationsappleten:

Datorkonfiguration > Administrativa mallar > Windows-komponenter > Fjärrskrivbordstjänster > Fjärrskrivbordssessionsvärd > Omdirigering av enhet och resurser

Läs mer om attackerna i detalj på blåsande dator här.

via: techdator 

Mer om ämnena: Hackaren

Atiya Davids

Atiya Davids Sköld

Nyhetsreporter