Microsoft, kuruluşunuzdaki potansiyel saldırıya uğramış makineleri tespit etmenin yeni bir yolunu duyurdu.
Analistler artık Defender for Endpoint’in “DesktopName” alanını kullanarak “gizli masaüstlerinde” çalışan şüpheli etkileşimli işlemleri kolayca tanımlayabilir, inceleyebilir ve arayabilir.
Bugünlerde, uzak masaüstü protokolü (RDP) güvenliğinin ihlali kullanımı rekor seviyelere ulaştı ve fidye yazılımı operasyonları hala genişliyor; bu da analistlere potansiyel olarak kötü amaçlı RDP oturum etkinliğine ilişkin tam görünürlük sağlamayı daha da önemli hale getiriyor.
Defender for Endpoint, gizli masaüstü bilgisayarların kötü amaçlı kullanımını tespit edebildiğinden, yöneticiler sürekli gelişen tehdit ortamının bir adım önünde kalabilir.
Uzak Masaüstü Protokolü (RDP) İhlaline Genel Bakış
Windows İstasyonları ve ‘gizli masaüstü bilgisayarlar’
Tipik olarak Windows, varsayılan olarak yalnızca bir uzak RDP oturumuna izin verir; bu da, saldırgan ve yetkili kullanıcı aynı cihazda etkileşim için rekabet ettiğinde gözle görülür çakışmaya yol açabilir.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
İlk yöntemde saldırganlar, örneğin kullanıcının şu anda kullanmakta olduğu aktif masaüstünde gösterilen arayüzlerden bağımsız olarak etkileşimli kontrol elde etmek için ek “gizli masaüstü” nesnelerinin ortaya çıkmasından yararlanır.
Microsoft’a göre bu teknik, meşru bir kullanıcının, saldırganın bilgisayarla iletişim kurmaya devam ederken arka planda bilgisayarını kullandığından habersiz olmasına olanak tanıyor.
Saldırganlar, bu saldırıyı gerçekleştirmek için çeşitli Windows Station nesneleriyle atanabilecek bir Windows kullanıcı oturumunu hedefler. Aynı anda yalnızca bir Windows Station nesnesi etkileşimli olabileceğinden, diğer Window Station’ları kullanan çoğu hizmet etkileşimli değildir.
hVNC Tekniği
Gizli sanal ağ bilişimi veya hVNC, tek bir kullanıcı oturumunda çok sayıda etkileşimli masaüstünün varlığına izin veren bir Windows özelliğini kullanan bir tür sanal ağ bilişimidir (VNC).
hVNC yaklaşımı, saldırganların, kullanıcının mevcut oturumuna paralel olarak gizli bir örneği sanal masaüstü olarak açarak hedeflenen cihazdaki olayları uzaktan yönetmesine olanak tanır.
Bundan sonra, yeni bir Windows masaüstü oluşturularak tüm etkinlik izleri kaldırılır.
Uç Nokta İçin Defender İle Tespit
Defender for Endpoint’in gelişmiş algılama yetenekleri sayesinde, bir saldırgan etkileşimli bir Powsershell.exe örneğini yürütmek için gizli bir masaüstünü kullanır.
Microsoft’a göre, bir masaüstü bilgisayarda çalışan ve anormal olabilecek belirli bir işlemin her örneğini görmek için Gelişmiş Arama sorgusunu kullanabilirsiniz.
.webp)
Bu nedenle yöneticiler, Defender for Endpoint’in gizli masaüstü bilgisayarların kötü amaçlı kullanımını tespit etme yeteneği sayesinde sürekli değişen tehdit manzarasının önünde kalabilir.
Bu özellik, yöneticilere belirli uç örneklerinde algılama, inceleme ve avlama konusunda daha ayrıntılı görünürlük ve kontrol sunar.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free