Служби RDS Windows використовуються в атаках безфайлових шкідників

Служби RDS Windows використовуються в атаках безфайлових шкідників

          За словами фахівців Bitdefender, які попередили про загрозу, зловмисники не залишають слідів, оскільки в хід йдуть безфайлові шкідники. Шкідливі кріптомайнери, програми-викрадачі інформації, вимагачі і шифрувальники, використовувані в цих кампаніях, виконуються в оперативній пам'яті за допомогою віддаленого з'єднання.

     Атакуючі задіють функцію служби віддаленого робочого столу (RDS), що дозволяє клієнту розшарювати локальні диски термінального сервера з правами читання та запису. Отримати доступ до ресурсів, розшарених подібним чином, можна через віддалений робочий стіл. При цьому на комп'ютері жертви не залишається слідів, так як додатки виконуються в пам'яті. Коли RDP-сесія розривається, те ж саме відбувається з усіма пов'язаними процесами — пам'ять, як правило, вивільняється. 

     Команда Bitdefender виявила, що зловмисники, використовуючи вищеописану функцію, встановлювали в системі жертв шкідливі програми різного типу. До них додавався компонент «worker.exe», який одержує інструкції від кіберзлочинців. Завдяки цій схемі атакуючі витягують з заражених комп'ютерів наступну інформацію: модель процесора, кількість ядер, архітектура, обсяг оперативної пам'яті, версія Windows, локальний IP-адрес і інформація про нього в сервісі ip-score.com, швидкість завантаження і скачування, права поточного користувача, список користувачів даного комп'ютера, браузер за замовчуванням, статус окремих портів, список певних запущених процесів. Крім цього, «worker.exe» може знімати скріншоти.

10:42
RSS
Немає коментарів. Ваш буде першим!
Завантаження...