找回密码
 立即注册!
搜索

小喇叭+ 发布

系统消息:尊敬的用户,动象论坛的邮件系统已经完美修复,您现在可以顺利使用自助注册和找回密码功能了。万分感谢你对动象论坛的喜爱与支持~
06-10 15:28
系统消息:很抱歉的通知您,当前论坛的邮件系统暂时出现故障,因此自助注册和找回密码的功能将无法使用。如有任何需要,您可以直接添加客服QQ:230273459进行人工操作。对此给您带来的不便,我们深感歉意。
06-10 09:11
admin动象论坛祝大家端午快乐~悠悠粽草,人间芳华,年年岁岁皆如愿,岁岁年年长安康。
06-10 09:09
系统消息:动象论坛祝大家高考加油~
06-09 15:13
系统消息:各位坛友,由于“两会”封网原因,动象论坛服务中止了约一个星期,对于由此给您造成的麻烦我们感到万分抱歉。
03-18 23:04
admin动象论坛在这里祝大家2024龙年新年快乐~
02-09 14:58
系统消息:论坛端口问题已经解决~您可以直接访问论坛域名mcmc.ltd(www.mcmc.ltd)啦~(Tips:如访问时提示“连接被重置”报错,请清空您的DNS缓存与浏览器缓存。)
02-05 19:14
系统消息:论坛预计今天晚间将端口问题修复完成,请留意论坛动态,感谢您对动象论坛的支持~
02-05 14:06
系统消息:动象论坛目前正在紧急迁移服务器,目前请您先访问https://mcmc.ltd:150。论坛正在全力找CDN以修复端口问题,由此给您造成影响亿常抱歉。。
02-05 11:23
系统消息:动象论坛祝大家2024年新年快乐吖~祝大家前路浩浩荡荡,万事皆可期待~
12-31 22:41
系统消息:动象论坛拟于7月20日至7月21日进行服务器迁移和域名更换,届时论坛服务将暂时不可用。对此给您带来的麻烦,我们感到十分抱歉。
07-18 19:51
Mozillahello world
07-04 17:39
系统消息:高考倒计时2天!动象论坛祝大家2023高考完胜!加油!!!!!!
06-04 23:44
神秘人:
03-21 07:20
系统消息:向各位论坛坛友公开一下,我们现在吸收了@luoying2334 为论坛管理团队成员,管理讨论区、软件分享区和得闲饮茶区。如您有任何质疑,请您在【意见与建议】版块发帖,感谢您的支持~
03-20 23:23
admin论坛没啥人气啊emmm,欢迎大家来推荐退荐~
03-12 22:34
02-05 11:11
luoying2334给我学狗叫啊,三回啊三回
02-05 11:11
Civilmafia追尾黑色高级车
02-04 14:27
Civilmafia仙家军
02-03 19:08
查看: 385|回复: 0

Windows 恶意软件在个人电脑上打开RDP端口,以便未来远程访问

[复制链接]

64

主题

59

回帖

2565

积分

飘然归隐

积分
2565

最佳新人灌水之王

发表于 2020-5-23 17:23:02 | 显示全部楼层 |阅读模式 IP:广东广州
安全研究人员表示,他们发现了一个新版本的Sarwent恶意软件,该软件会在受感染的计算机上打开RDP(远程桌面协议)端口,这样黑客就可以上手访问受感染的主机。

来自SentinelOne的研究人员发现了这个新版本,他们认为Sarwent的操作者很可能是准备在网络犯罪黑社会上出售这些系统的访问权限,这是一种常用的RDP主机赚钱的方法。

Sarwent恶意软件

Sarwent恶意软件是一个不太知名的后门木马,自2018年以来一直存在。在其之前的版本中,该恶意软件包含了一套有限的功能,例如具有在被攻击的计算机上下载和安装其他恶意软件的能力。

但在最近几周发现的一次活动中,SentinelOne恶意软件分析师Jason Reaves表示,Sarwent收到了两个关键更新。

第一个是通过Windows命令提示符和PowerShell实用程序执行自定义CLI命令的能力。

不过,虽然这个新功能本身就相当具有侵入性,但研究人员表示,Sarwent还在这次最新的更新中获得了另一个新功能。

Reaves表示,Sarwent现在会在每个受感染的主机上注册一个新的Windows用户账户,启用RDP服务,然后修改Windows防火墙,允许外部RDP访问受感染主机。



这意味着,Sarwent操作者可以使用他们创建的新Windows用户访问受感染的主机,而不会被本地防火墙阻止。

在今天的采访中,Reaves告诉ZDNet,这个新的Sarwent版本的发行量暂时是有限的。

"我只见过这种新版本只作为其他恶意软件的二次感染下载 -- 以Predator the Thief为例。"Reaves告诉ZDNet。

由于目前的分发方案,清理Sarwent感染是 "有点复杂,"研究人员补充道。

这包括删除安装Sarwent的原始恶意软件,删除新的Windows用户,然后关闭Windows防火墙中的RDP访问端口。

RDP访问是为了什么?

目前,Sarwent在所有受感染的主机上获得的RDP访问权限是什么,仍然是个谜。

"通常情况下,恶意软件在犯罪软件领域的发展是由对某种东西的货币化欲望,或者客户对功能的需求决定的。"Reaves告诉ZDNet。

有几种理论存在。Sarwent团伙可能自己使用RDP访问权限(窃取专有数据或安装勒索软件),他们可能将RDP访问权限租给其他网络犯罪或勒索软件团伙,也可能将RDP端点列在所谓的 "RDP商店 "上,就像下面列出的那个。



SentinelOne的Sarwent报告中包含了新的Sarwent恶意软件版本的破坏指标(IOCs)。安全团队可以使用这些IOCs来搜索其计算机队伍中的Sarwent感染者。
[我是一个默认签名,快去设置里设置一个个性签名吧(*^ワ^*)] 动象论坛欢迎您!(´∇ノ`*)ノ
*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册!

本版积分规则

QQ|手机版|小黑屋|网站地图|动象论坛

GMT+8, 2024-11-21 19:33 , Processed in 0.246817 second(s), 29 queries , Gzip On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表