Tin tặc có thể phá hủy PC của bạn mà không để lại dấu vết bằng dịch vụ RDP- đây là cách tự bảo vệ mình

Trang Chủ » microsoft

Biểu tượng thời gian đọc 2 phút đọc

Biểu tượng lịch Cập nhật vào

by Atiya Davids 

cập nhật trên

Chia sẻ bài báo này

Bạn đọc giúp đỡ ủng hộ MSpoweruser. Chúng tôi có thể nhận được hoa hồng nếu bạn mua thông qua các liên kết của chúng tôi. Biểu tượng chú giải công cụ

Đọc trang tiết lộ của chúng tôi để tìm hiểu cách bạn có thể giúp MSPoweruser duy trì nhóm biên tập Tìm hiểu thêm

Windows Remote Desktop Services cho phép người dùng chia sẻ ổ đĩa cục bộ với Máy chủ đầu cuối với quyền đọc và ghi, dưới vị trí mạng ảo “tsclient” (+ ký tự của ổ đĩa).

Dưới kết nối từ xa, tội phạm mạng có thể truyền đạt những người khai thác tiền điện tử, những kẻ đánh cắp thông tin và ransomware; và vì nó nằm trong RAM, họ có thể làm như vậy mà không để lại bất kỳ dấu chân nào.

Kể từ tháng 2018 năm XNUMX, tin tặc đã lợi dụng thành phần 'worker.exe', gửi nó cùng với phần mềm độc hại để thu thập các chi tiết hệ thống sau đây.

  • Thông tin hệ thống: kiến ​​trúc, kiểu CPU, số lõi, kích thước RAM, phiên bản Windows
  • tên miền, đặc quyền của người dùng đã đăng nhập, danh sách người dùng trên máy
  • địa chỉ IP cục bộ, tốc độ tải lên và tải xuống, thông tin IP công cộng được trả về từ dịch vụ ip-score.com
  • trình duyệt mặc định, trạng thái của các cổng cụ thể trên máy chủ lưu trữ, kiểm tra các máy chủ đang chạy và lắng nghe trên cổng của chúng, các mục nhập cụ thể trong bộ đệm DNS (chủ yếu nếu nó cố gắng kết nối với một miền nhất định)
  • kiểm tra xem các quy trình nhất định đang chạy, sự tồn tại của các khóa và giá trị cụ thể trong sổ đăng ký

Ngoài ra, thành phần có khả năng chụp ảnh màn hình và liệt kê tất cả các mạng chia sẻ được kết nối được ánh xạ cục bộ.

“Worker.exe” được cho là đã thực thi ít nhất ba trình đánh cắp khay nhớ tạm riêng biệt, bao gồm MicroClip, DelphiStealer và IntelRapid; cũng như hai họ ransomware - Rapid, Rapid 2.0 và Nemty, và nhiều công cụ khai thác tiền điện tử Monero dựa trên XMRig. Kể từ năm 2018, nó cũng đã sử dụng trình đánh cắp thông tin AZORult.

Những kẻ đánh cắp clipboard hoạt động bằng cách thay thế địa chỉ ví tiền điện tử của người dùng bằng địa chỉ ví tiền điện tử của kẻ tấn công, có nghĩa là chúng sẽ nhận được tất cả các khoản tiền tiếp theo. Ngay cả những người dùng siêng năng nhất cũng có thể bị đánh lừa với “cơ chế tính điểm phức tạp”, sàng lọc hơn 1,300 địa chỉ để tìm địa chỉ giả mạo, có điểm bắt đầu và kết thúc giống hệt nạn nhân.

Những kẻ đánh cắp clipboard ước tính đã thu được khoảng 150,000 đô la - mặc dù con số này chắc chắn cao hơn nhiều trong thực tế.

“Từ phương pháp đo từ xa của chúng tôi, các chiến dịch này dường như không nhắm mục tiêu vào các ngành cụ thể, thay vào đó cố gắng tiếp cận càng nhiều nạn nhân càng tốt” - Bitdefender

May mắn thay, các biện pháp phòng ngừa có thể được thực hiện, sẽ bảo vệ bạn trước loại tấn công này. Điều này có thể được thực hiện bằng cách bật chuyển hướng ổ đĩa từ danh sách các chính sách nhóm. Tùy chọn có sẵn bằng cách làm theo đường dẫn này trong applet cấu hình máy tính:

Cấu hình máy tính> Mẫu quản trị> Cấu phần Windows> Dịch vụ máy tính từ xa> Máy chủ phiên máy tính từ xa> Chuyển hướng thiết bị và tài nguyên

Đọc thêm về các cuộc tấn công chi tiết tại máy tính tại đây.

thông qua: kỹ thuật viên 

Thông tin thêm về các chủ đề: của hacker

Atiya Davids

Atiya Davids Lá chắn

Phóng viên thời sự