Rms - профессиональный продукт для удаленного управления компьютером. Данный программное обеспечение очень удобно для использования системным администратором или обычным пользователем. Программа обладает высокой скоростью работы, простым, но очень функциональным интерфейсом, интеграцией с системой Active Directory и большим выбором интернет соединений. Хосты (файл для получения удаленного доступа), не видны антивирусам, так же им не нужны права администратора для запуска и установки. Опишу небольшой функционал данной программы:
- Конфигуратор пакетов MSI, с изначально заданными настройками подключения.
- Установщик удаленных пакетов.
- Удаленный менеджер файлов с запуском.
- Удаленный терминал.
- Запись видео экрана.
- Удаленное подключение к Веб-камере и микрофону.
Но оно так же очень удобно для хакеров. Я расскажу о двух способах взлома как единичных пользователей, так и целых предприятий.
Взлом из локальной сети
С помощью одной учетной записи, человек может заразить все предприятие. Представим, что у нас есть компания, на 50-2000 сотрудников. Злоумышленник получает доступ к вашей локальной сети, посредством взлома вашего Wi-Fi. По 445 порту с помощью эксполита, в дальнейшем будет статья как это сделать, подключается к какому-либо из компьютеров. И с помощью уязвимости Windows запускает хост-файл Rms. В дальнейшем он может получить данные учетной записи администратора по средствам обычного стилера ( Стилер — определенный класс троянов, функционал которых полностью состоит из кражи сохраненных в системе паролей и отправка их "автору" ), а вместе с ними активирует "Режим бога". С помощью этих данных и установленным RMS у человека появляется полный доступ к любому узлу в локальной сети с удобным интерфейсом и без лишних заморочек. В программу удаленного доступа входит конфигуратор пакетов MSI, а так же инструмент удаленной установки, с помощью которого можно установить любой пакет и остаться незамеченным. Дальнейшие последствия вы прекрасно понимаете сами, тут уже на что у вас хватит фантазии.
Взлом с помощью фишинга/ email-рассылок
Настроенный пакет-установщик удаленного хоста RMS весит около 10МБ. Это означает что данный хост можно склеить с любым файлом, который придет вам в голову. Например, с файлом коммерческого предложения, оправленного на почту одному из сотрудников или директору предприятия. Так же бывают различные рассылки по заранее подготовленным почтовым адресам. Один из вариантов склеить файл хоста с установщиком популярного приложения, например WinRar и выложить его на файлообменник. Есть множество видов распространения зараженного файла, в данном случае на сколько у вас хватит фантазии.
Выводы которые можно сделать из данной статьи:
1.Разделяйте внутреннюю и гостевую сети wifi.
2. Всегда устанавливайте новые обновления Windows, хоть этот процесс сам по себе не приятен.
3. Не скачивайте файлы от неизвестных почтовых адресов и с подозрительных форумах, файлообменниках.
Надеюсь статья будет полезной.