แฮกเกอร์สามารถขโมยพีซีของคุณโดยไม่ทิ้งร่องรอยไว้โดยใช้บริการ RDP ต่อไปนี้เป็นวิธีรักษาความปลอดภัยให้กับตัวคุณเอง

หน้าแรก » ไมโครซอฟท์

ไอคอนเวลาอ่านหนังสือ 2 นาที. อ่าน

ไอคอนปฏิทิน อัปเดตเมื่อวันที่

by อติยา เดวิดส์ 

อัปเดตเมื่อ

แชร์บทความนี้

ผู้อ่านช่วยสนับสนุน MSpoweruser เราอาจได้รับค่าคอมมิชชันหากคุณซื้อผ่านลิงก์ของเรา ไอคอนคำแนะนำเครื่องมือ

อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม

Windows Remote Desktop Services ช่วยให้ผู้ใช้สามารถแชร์ไดรฟ์ภายในเครื่องกับ Terminal Server โดยมีสิทธิ์ในการอ่านและเขียน ภายใต้ตำแหน่งเครือข่ายเสมือน “tsclient” (+ ตัวอักษรของไดรฟ์)

ภายใต้การเชื่อมต่อระยะไกล อาชญากรไซเบอร์สามารถบอกผู้ขุด cryptocurrency ผู้ขโมยข้อมูล และแรนซัมแวร์ และเนื่องจากเป็น RAM พวกเขาสามารถทำได้โดยไม่ทิ้งรอยเท้าไว้เบื้องหลัง

ตั้งแต่เดือนกุมภาพันธ์ 2018 แฮกเกอร์ได้ใช้ประโยชน์จากองค์ประกอบ 'worker.exe' โดยส่งไปพร้อมกับมัลแวร์ค็อกเทลเพื่อรวบรวมรายละเอียดระบบต่อไปนี้

  • ข้อมูลระบบ: สถาปัตยกรรม, รุ่น CPU, จำนวนคอร์, ขนาด RAM, เวอร์ชัน Windows
  • ชื่อโดเมน สิทธิ์ของผู้ใช้ที่บันทึก รายชื่อผู้ใช้ในเครื่อง
  • ที่อยู่ IP ท้องถิ่น ความเร็วในการอัพโหลดและดาวน์โหลด ข้อมูล IP สาธารณะที่ส่งคืนโดยบริการจาก ip-score.com
  • เบราว์เซอร์เริ่มต้น, สถานะของพอร์ตเฉพาะบนโฮสต์, การตรวจสอบเซิร์ฟเวอร์ที่ทำงานอยู่และการฟังบนพอร์ต, รายการเฉพาะในแคช DNS (โดยหลักแล้วหากพยายามเชื่อมต่อกับโดเมนใดโดเมนหนึ่ง)
  • ตรวจสอบว่ามีกระบวนการทำงานอยู่หรือไม่ มีคีย์และค่าเฉพาะในรีจิสทรีหรือไม่

นอกจากนี้ คอมโพเนนต์ยังมีความสามารถในการจับภาพหน้าจอและระบุการแชร์เครือข่ายที่เชื่อมต่อทั้งหมดที่แมปในเครื่อง

มีรายงานว่า “worker.exe” เรียกใช้ตัวขโมยคลิปบอร์ดแยกกันอย่างน้อยสามตัว ซึ่งรวมถึง MicroClip, DelphiStealer และ IntelRapid เช่นเดียวกับแรนซัมแวร์สองตระกูล - Rapid, Rapid 2.0 และ Nemty และผู้ขุดเงินดิจิตอล Monero จำนวนมากที่ใช้ XMRig ตั้งแต่ปี 2018 เป็นต้นมา บริษัทได้ใช้ AZORult info-stealer ด้วยเช่นกัน

ผู้ขโมยคลิปบอร์ดทำงานโดยแทนที่ที่อยู่กระเป๋าเงินดิจิตอลของผู้ใช้ด้วยที่อยู่ของแฮ็กเกอร์ ซึ่งหมายความว่าพวกเขาจะได้รับเงินทั้งหมดในภายหลัง แม้แต่ผู้ใช้ที่ขยันที่สุดก็สามารถถูกหลอกได้ด้วย "กลไกการให้คะแนนที่ซับซ้อน" ซึ่งกรองที่อยู่มากกว่า 1,300 แห่งเพื่อค้นหาที่อยู่ปลอม ซึ่งมีจุดเริ่มต้นและจุดสิ้นสุดเหมือนกันกับของเหยื่อ

ผู้ขโมยคลิปบอร์ดคาดว่าจะให้ผลตอบแทนประมาณ 150,000 ดอลลาร์แม้ว่าตัวเลขนี้จะสูงกว่าความเป็นจริงอย่างไม่ต้องสงสัย

“จากการวัดผลทางไกลของเรา แคมเปญเหล่านี้ดูเหมือนจะไม่ได้กำหนดเป้าหมายเฉพาะอุตสาหกรรม แต่พยายามเข้าถึงเหยื่อให้ได้มากที่สุด” – Bitdefender

โชคดีที่สามารถใช้มาตรการป้องกันไว้ก่อนซึ่งจะปกป้องคุณจากการโจมตีประเภทนี้ ซึ่งสามารถทำได้โดยเปิดใช้งานการเปลี่ยนเส้นทางไดรฟ์จากรายการนโยบายกลุ่ม ตัวเลือกนี้มีให้โดยทำตามเส้นทางนี้ในแอพเพล็ตการกำหนดค่าคอมพิวเตอร์:

การกำหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > คอมโพเนนต์ของ Windows > บริการเดสก์ท็อประยะไกล > โฮสต์เซสชันเดสก์ท็อประยะไกล > การเปลี่ยนเส้นทางอุปกรณ์และทรัพยากร

อ่านเพิ่มเติมเกี่ยวกับการโจมตีในรายละเอียดที่ คอมพิวเตอร์ ที่นี่

ผ่าน: เทคเดเตอร์ 

ข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อต่างๆ: แฮ็กเกอร์

อติยา เดวิดส์

อติยา เดวิดส์ โล่

นักข่าว