سوءاستفاده‌ی هکرها از درگاه‌های باز RDP برای دسترسی از راه دور با استفاده از بدافزار Windows Backdoor

سوءاستفاده‌ی هکرها از درگاه‌های باز RDP برای دسترسی از راه دور با استفاده از بدافزار Windows Backdoor

اخیراً محققان امنیتی نسخه‌ی جدیدی از بدافزارهای ویندوز را کشف کرده‌اند که درگاه RDP را بر روی رایانه‌های شخصی ویندوز برای دسترسی از راه دور بعدی، باز می‌کند. محقق امنیتی SentinelOne، جیسون ریوز فاش کرده است که این نسخه‌ی جدید از بدافزار با نام "Sarwent" شناخته شده و از سال 2018 استفاده شده است. در حال حاضر، این نسخه‌ی جدید از بدافزار Sarwent به طور جدی مورد توجه بسیاری از کارشناسان امنیتی قرار گرفته است. توئیتی از محقق امنیتی، ویتالی کرمز، در ابتدای سال جاری میلادی منتشر شد که در آن وی بطور مختصر در مورد این بدافزار Sarwent اشاره کرده بود. کارشناسان امنیتی همچنین توضیح داده اند که هنوز تأیید نشده است Sarwent دقیقاً چگونه توزیع شده‌است و این اتفاق ممکن است از طریق سایر بدافزارها رخ دهد. علاوه بر این، نسخه‌های اولیه Sarwent برای نصب نرم‌افزارهای مخرب اضافی بر روی رایانه‌های شخصی تحت کنترل، ارتقا داده شده‌بودند. جدا از این‌، احتمالاً اپراتورهای بدافزار Sarwent برای فروش دسترسی به این سیستم‌های تحت‌کنترل در پورتال‌ها و انجمن‌های هکرها اقدام می‌کنند، زیرا این یکی از متداول‌ترین روش‌های کسب درآمد از میزبان‌های دارای قابلیت RDP است. عملکرد آلودگی Sarwent بدافزارهای Sarwent هنوز توسط هکرها بطور فعال تولید و استفاده می‌شوند، اما بوسیله‌ی دستورات جدید و تمرکز بر روی پروتکل RDP اخیراً مورد توجه بوده‎اند. نسخه‌ی جدید Sarwent به دلیل توانایی آن در اجرای دستورات سفارشی CLI از طریق برنامه‌های Windows Command Prompt و برنامه‌های کمکی PowerShell بر دوام است. اگرچه این ویژگی جدید به خودی خود بسیار مزاحم است، اما کارشناسان امنیتی ادعا کرده‌اند که Sarwent همچنین ویژگی جدید دیگری را با به‌روزرسانی دریافت کرده است، و این ویژگی امکان ثبت یک حساب کاربری جدید ویندوز در هر میزبان آلوده است. هنگامی که Sarwent بر روی یک سیستم فعال است، این بدافزار یک حساب کاربری جدید Windows ایجاد کرده، تنظیماتFirewall را تغییر داده و سپس درگاه‌های RDP را باز می‌کند. به طور خلاصه، مهاجمان می‌توانند از کاربر جدید ویندوز ایجاد شده بر روی سیستم آلوده استفاده کنند تا بدون اینکه توسط فایروال ویندوز مسدود شوند، به میزبان دسترسی پیدا کنند. به گفته محقق امنیتی SentinelOne، این کار به منظور دستیابی به دسترسی از راه دور بعدی بر روی سیستم تحت کنترل، انجام شده است. جدا از این، اپراتورهای موجود در پشت بدافزارهای Sarwent ممکن است از دسترسی RDP فقط برای سرقت داده‌های اختصاصی یا نصب باج افزار استفاده کنند، یا همانطور که قبلاً گفتیم می‌توانند دسترسی RDP را به سایر هکرها اجاره دهند. تهیه و تدوین: پرند صلواتی