سوء استفاده از RDP توسط بدافزار Morto

Worm

بدافزار Morto از خانواده‌ی کرم‌ها و از جمله بدافزارهای تحلیل شده توسط آزمایشگاه پادویش در چندین سال‌ گذشته است. بارزترین و خطرناک‌ترین ویژگی کرم‌های کامپیوتری، قابلیت انتشار خودکار آنهاست. کرم‌های کامپیوتری همچون Morto، بدون اجازه و اطلاع کاربر وارد سیستم می‌شوند و با هر بار راه اندازی سیستم و یا اتصال به اینترنت، به گسترش خود می‌پردازند. از متداول‌ترین روش‌های آلودگی، انتقال از راه درایوهای قابل حمل (مانند فلش، هارد دیسک و …) و همچنین از راه دایرکتوری‌های اشتراک گذاشته شده‌ی درون شبکه می‌باشد. معمولا کرم‌ها به دنبال بخش‌های نامرئی سیستم عامل و مسیرهایی که از دید کاربر پنهان هستند، می‌باشند. نتیجه آن که، زمانی کاربر از حضور این مزاحمان مطلع می‌شود که سیستم کاملا آلوده و کند شده است.

نشانه‌های آلودگی

از جمله نشانه‌های آلودگی سیستم به بدافزار Morto، ایجاد سرویس، تغییر رجیستری‌ها و همچنین اضافه شدن فایل‌های مخرب دیگر به سیستم قربانی است. یکی از مرسوم‌ترین روش‌های انتشار این گونه‌ی مزاحم در شبکه‌ی داخلی سازمان‌ها، سوء استفاده از RDP یا همان قابلیت پرکاربرد دسترسی از راه دور به دسکتاپ است. آلودگی Morto به این سطح ختم نمی‌شود و با رسیدن بدافزار به دیگر سیستم‌های موجود در شبکه، جاسوسی از سیستم قربانی و فرستادن اطلاعات موجود به آدرس‌های از پیش تعیین شده انجام می‌گیرد. در نهایت زمانی کاربر از وجود آلودگی مطلع می‌شود که از سیستم خود و توسط مهاجمان log out شده باشد.

راهکارها

برای در امان ماندن از آلودگی به این نوع بدافزارها، حتما از سالم بودن درایوهای قابل حمل متصل شده به سیستم خود اطمینان حاصل کنید و همچنین از قابلیت RDP با دقت بیشتری استفاده کنید. آنتی ویروس پادویش این بدافزار را شناسایی و از سیستم حذف می‌کند. بخش جلوگیری از نفوذ (IPS) آنتی ویروس پادویش نیز آلودگی‌های احتمالی را شناسایی و از ورود آنها به سیستم قربانی جلوگیری می‌کند.