Robak atakujący Windows Remote Desktop

Firma F-Secure ostrzega przed robakiem Morto, który rozprzestrzenia się, wykorzystując Windows Remote Desktop Server. Infekuje on głównie serwerowe wersje Windows, na których usługa RDP jest najczęściej włączona i dostępna przez internet w celu zdalnego zarządzania serwerem. Na systemach nieserwerowych usługa jest dostępna tylko w droższych wersjach produktów, a poza tym domyślnie wyłączona.

Nowo odkryty robak nie wykorzystuje żadnych luk w systemie, lecz skanuje całe zakresy adresów IP na porcie 3389, po czym próbuje się logować jako administrator z użyciem często stosowanych haseł. Po udanym logowaniu do zdalnego komputera, Morto tworzy napęd A:, który może być udostępniony jako udział w sieci lokalnej. Zapisuje na nim plik DLL, który rozpoczyna infekcję w sieci lokalnej, a także inne pliki w katalogach systemowych. Na kolejno infekowanych komputerach robak powtarza wszystkie czynności i jest gotowy do dalszego rozprzestrzeniania się. Dodatkowo Morto jest przystosowany do pracy jako botnet, zawiera nazwy domen (jaifr.com, qfsl.net) z których może pobierać nowe komendy i komponenty. Szczegółowa analiza Morto znajduje się m.in. na stronie Microsoftu.

Oczywiście w tym przypadku podstawowym rozwiązaniem jest ustawienie takiego hasła administratora, którego nie da się łatwo odgadnąć.

0 0 votes
Article Rating
Powiadomienia
Powiadom o
1 Komentarz
Najstarsze na górze
Najnowsze na górze Najwyżej oceniane
Inline Feedbacks
View all comments
Arkadiusz Siczek
1 rok temu

Wg ostatnich badać przeważająca liczba ataków ransmoware spowodowana jest przez… Zdalny Pulpit.
Co to oznacza w praktyce? Administratorzy IT uruchamiają tzw. RDP na serwerze, by mieć dostęp z zewnątrz do maszyny. Wystawiają zatem “na świat” usługę, która znana jest z podatności. Duży błąd.

Już nie będę się w tym momencie pastwił na administratorach, którzy wyłączają “tymczasowo” firewall, by sprawdzić połączenie z RDP, a później o nim zapominają.

By była jasność, RDP to nie zło. Konieczne jest jednak odpowiednie zabezpieczenie. Jeżeli już musisz mieć dostęp do RDP z zewnątrz to rób to za pomocą bezpiecznego VPNa.

1
0
Would love your thoughts, please comment.x
()
x