Şirket ağlarını ihlal eden saldırganların, hedef bilgisayarlarda iz bırakmadan, uzak masaüstü protokolü (RDP) üzerinden malware dağıttıkları tespit edildi.
Kripto para madencileri, bilgi çalma araçları ve fidye yazılımları, uzaktan bağlantı kullanılarak RAM üzerinden güvenliği ihlal edilmiş makinelerden yararlı bilgilere erişebilmeyi sağlayabilmektedir.
Windows RDS (Remote Desktop Services) Özelliklerini Kullanma
Saldırganlar, Windows Uzak Masaüstü Hizmetleri’ndeki bir istemcinin yerel driverları Terminal Sunucusu ile okuma ve yazma izinleriyle paylaşmasına olanak tanıyan bir özellikten faydalandı.
Bu sürücüler sunucuda ‘tsclient’ adında sanal ağ konumunda bir paylaşım olarak görünür, ardından driverla yerel olarak eşlenebilir. Bu özellik uzun süredir kullanılıyor ve bir kullanıcı sunucuya bağlanıp bir uygulamayı çalıştırdığında hangi işlemler yapıldığını açıklıyor.
Bu şekilde paylaşılan kaynaklara erişim RDP yoluyla mümkündür ve uygulamalar bellekte yürütülürken istemci makinenin diskinde iz bırakmadan işlem tamamlanır.Bir RDP oturumu sona erdiğinde, ilişkili işlemler ve bellek de genellikle serbest bırakılır.
Ağ Paylaşımlarında Malware
Bitdefender’daki Malware analistleri, rakiplerin bu özellikten yararlandığını ve saldırganların komutuyla ‘worker.exe’ bileşeniyle birlikte çeşitli türde malware bıraktıklarını tespit etti. En az Şubat 2018’den beri kullanılmakta olan ‘worker.exe’, özellikle keşif kabiliyetleri için birçok saldırgan tarafından kullanılan hazır bir araçtır.
Saldırıların çoğu Brezilya’da, ABD’de ve Romanya’da gözlenmiş olup sayının artmasıyla birlikte saldırı önem taşımakta.Bu tür saldırıları önlemenin zor olmadığı grup ilkeleri listesinden driverın yeniden yönlendirmesini devre dışı bırakarak önlem alınabileceği belirtildi.
Kaynak
