Computerbeveiliging - Hoe je bad guys buiten de deur houdt

RDP risico: mind meld

01-07-2023, 00:21 door Erik van Straten, 17 reacties
In aanvulling op mijn vorige writeup "Extra risico RDP aan Internet" [0]: Martin Zugec van Bitdefender publiceerde vorige week een m.i. interessant artikel ([1], bron: [2]) getiteld:

Unpacking RDStealer: An Exfiltration Malware Targeting RDP Workloads

In het kort: indien een RDP-server (dat kan ook een desktop of notebook zijn) met de in [1] beschreven RDStealer malware geïnfecteerd is, slaat deze toe zodra een (nog schone) client verbinding maakt die de lokale C: drive (op de client dus) gemapped heeft op de server.

Probleem: niet alleen de gebruiker van de client kan die drive (via/vanaf de server) benaderen, malware op de server kan dat ook. De hiervoor gebruikte RDP "virtual channels" (plaatje: [3]) doen mij denken aan een mind meld uit Star Trek; als Spock een mind meld uitvoert, is dat ook niet zonder risico voor hemzelf.

De malware op de server kopieert dan een snelkoppeling naar de "Opstarten" (Startup) map van de op de client ingelogde gebruiker, naast dat de feitelijke malware elders op die schijf (op de client) wordt geplaatst. De eerstvolgende keer dat de gebruiker inlogt op de client, wordt de malware gestart (zie [1] voor verdere details).

Standaard worden door de client (mstsc.exe) printers, het klembord, smartcards en WebAuthn logins gedeeld met de server; drives moet je zelf aanzetten.

Risico's beperken
Deel (vanaf een client) zo min mogelijk met remote desktop servers (die je niet voor 100% kunt vertrouwen). Deel in elk geval niet je hele C: drive. Als je geen lege extra drive hebt die je als "sluis" kunt gebruiken, kun je map aanmaken en daar een nog vrije drive-letter aan koppelen met subst.exe; deel vervolgens die "drive" via mstsc.exe.

Houd zo'n "sluis" map of drive zoveel mogelijk leeg. Vanzelfsprekend zet je het tonen van bestandsextensies en "verborgen items" aan in Verkenner (of iets als Total Commander), en vermijd je zoveel mogelijk het kopiëren van uitvoerbare bestanden tussen server en client en vice versa. Spontaan verschenen bestanden en/of mappen in die sluis zijn natuurlijk extreem verdacht.

Nb. een writeup van Checkpoint ([4], bron [5]) beschrijft malware die via USB geheugensticks verplaatst door gebruikersbestanden en malware in hidden folders te zetten met in de root een bestand <naam_van_de_USB_drive>.exe. Op deze manier zijn computersystemen in een (niet nader genoemd) Europees ziekenhuis gecompromitteerd geraakt; laat je niet foppen door iets vergelijkbaars.

Doorhoppen (nesten van sessies), dus iets als:
client —> server1 —> server2
is natuurlijk ook niet handig indien server1 gecompronitteerd blijkt: de malware daarop kan dan waarschijnlijk ook zonder jouw "aanwezigheid" inloggen op server2.

[0] https://www.security.nl/posting/800307/Extra+risico+RDP+aan+Internet

[1] https://www.bitdefender.com/blog/businessinsights/unpacking-rdstealer-an-exfiltration-malware-targeting-rdp-workloads/

[2] https://www.bleepingcomputer.com/news/security/new-rdstealer-malware-steals-from-drives-shared-over-remote-desktop/

[3] https://businessresources.bitdefender.com/hubfs/undefined-Jun-15-2023-02-14-44-1532-PM.png

[4] https://research.checkpoint.com/2023/beyond-the-horizon-traveling-the-world-on-camaro-dragons-usb-flash-drives/

[5] https://www.theregister.com/2023/06/23/camaro_dragon_usb_malware_spreads/
Reacties (17)
03-07-2023, 10:47 door Anoniem
Je bedoelt Mind melt?
03-07-2023, 12:30 door Erik van Straten
Door Anoniem: Je bedoelt Mind melt?
Nee. Het is niet "smelten", maar "vermengen", of "blend".
https://en.wikipedia.org/wiki/Vulcan_(Star_Trek)#Mind_melds
https://www.merriam-webster.com/thesaurus/meld
03-07-2023, 13:01 door Anoniem
Door Anoniem: Je bedoelt Mind melt?

Target information acquisation :) How we call it
05-07-2023, 07:28 door Anoniem
De werking van de huidige Borg, uitgelegd aan degenen, die zich liever hiertegen zouden beschermen.
De verschillen tussen cybercriminele staatsactor en overheid worden steeds onduidelijker.

Resistence is futile, you will be assimilated tot een commentaarloze klikker.

Erik, leg de huidige dreigingen voor de rechtschapen individuele eindgebruikers eens uit?
Deze posting was niet geredigeerd via Quillbot. waarvan akte.

#webproxy
07-07-2023, 16:24 door Anoniem
Door Anoniem: De werking van de huidige Borg, uitgelegd aan degenen, die zich liever hiertegen zouden beschermen.
De verschillen tussen cybercriminele staatsactor en overheid worden steeds onduidelijker.

Resistence is futile, you will be assimilated tot een commentaarloze klikker.

Erik, leg de huidige dreigingen voor de rechtschapen individuele eindgebruikers eens uit?
Deze posting was niet geredigeerd via Quillbot. waarvan akte.

#webproxy

Nee hoor, je hebt zelf je controle over jouw leven en jouw lot. Dit is gewoon een feit.

Wat hier los van staat is dat veel mensen dom gehouden worden over de subtiele velden in de 'global mind' waardoor je 1) mensen letterlijk tot mentale slaaf kunt maken bijv door te te brainwashen in een spelletje van 'good vs evil' en 2) iedereen in diskrediet te brengen die hier over spreekt - er kan dan verwezen woorden naar sprookjes of naar films, of dat de persoon verward is en teveel hash gerookt heeft en wizard of Oz heeft gekeken

Dat de persoon door de psychopharma tak van het bedrijf iets binnen heeft gekregen dat staat buiten kijf

Maar wat jij nu doet is wat ook de zogenaamde oppositie doet, ze verwijzen naar mythes en legendes, zoals de wappies die conspiracy theorien propageren, die alles behalve de waarheid vertellen en zo onderdeel worden van het 'systeem'

Het systeem is een draak van een beest en het enige wat u er tegen kan beschermen is waarheid spreken, elke dag opnieuw.. of dat of u wordt slaaf in een virtuele matrix mindcontrol wereld..... degenen die hier in werken en ervoor betaald worden zijn zelf de grootste slaven, er valt niets aan te benijden, zij hebben immers al verloren en hun ziel ingeruild voor wat jij dan 'AI' zou noemen, ik noem het gewoon geld....

Spreek waarheid en ben onafhankelijk, ik doe het prima alleen en heb van niemand iets nodig ... want iedereen in de surveillance industrie wordt vroeg of laat uitgekotst, of ze staan zelf op het menu als psycho terrorist of de volgende gebrainwashte 'jesus figuur' die klaar is voor een ggz opname

Het zijn er inmiddels zoveel dat werkend Nederland behoorlijk wat belastingcenten moet neerleggen om al deze mensen te onderhouden omdat zij niet meer kunnen functioneren in de maatschappij...en... het worden er steeds meer.

We lezen ze wel in de krant of op geenstijl , wanneer de volgende systeemknecht over de rooie gaat , gelukkig hebben wij hier geen wapens anders we hier net als in de VS elke dag massamoorden...

Maar meer mensen worden wakker en weten zich via eenvoudige maatregelingen zelf te sanitizen zodat de magische trukendoos zero, nul punt nul effect heeft....

Verwacht ook niet dat binnen de overheid mensen die er weet van hebben zich uit zullen spreken, want ieder die er weet van heeft doet (in) direct mee aan het creeeren van hun eigen virtual reality hell , en anderen zijn weer bang dat ze hun baan verliezen of potentieel klokkenluider en dat betekent via subtiele tactieken naar discrediet, ggz, een ongeluk of anderszins drama....

Hoe weet een mens dat ze gebrainwashed zijn? Het begint meestal met "laat je ego achterwege" dan zullen zij jou herbouwen

Trap er niet in doe ik ook niet en ik leef nog steeds en mij gaat het inmiddels zeer goed.

Remember elke dag waarheid spreken of anders de hel

ps zij hebben geen macht over mij of jou. je hebt het zelf in de hand. speel je het spelletje mee? dan krijg je wel pech

Joost
08-07-2023, 01:24 door Anoniem
@Gisteren, 16:24 door Anoniem

Imposante post. Ik ken ook mensen die zeggen 'mentaal overgenomen' te zijn en sommigen zijn wel nog aan het werk in diverse sectoren, onder andere de ICT , de zorg, eentje op de luchthaven in de beveiliging.

Het is wel vreemd dat er een onwetendheid/taboe op rust. Waarom? Alle taboes vroeg of laat worden opengebroken, dat was zo met vrouwenrechten en de lgbtq acceptatie en dit zal ook nog wel gemeengoed worden.

Jammer dat zoveel mensen niet meer aan de bak kunnen of met een verkeerde diagnose zijn afgeserveerd omwille van de dikke ego van een klein groepje psychopaten die helaas helaas zonder verstand van zaken vaak een hoge machtspositie hebben, of een dikke vinger in de pap omdat zij een DBA (data base admin) zijn van een belangrijke organisatie , waar de auditing op peil is en de enige methode om mee te gluren via sqldumps en backups gaat

Je zou maar zo'n volksverrader zijn, wat zou de straf zijn?
08-07-2023, 17:32 door Anoniem
Door Anoniem:
Door Anoniem: De werking van de huidige Borg, uitgelegd aan degenen, die zich liever hiertegen zouden beschermen.
De verschillen tussen cybercriminele staatsactor en overheid worden steeds onduidelijker.

Resistence is futile, you will be assimilated tot een commentaarloze klikker.

Erik, leg de huidige dreigingen voor de rechtschapen individuele eindgebruikers eens uit?
Deze posting was niet geredigeerd via Quillbot. waarvan akte.

#webproxy

Nee hoor, je hebt zelf je controle over jouw leven en jouw lot. Dit is gewoon een feit.

Wat hier los van staat is dat veel mensen dom gehouden worden over de subtiele velden in de 'global mind' waardoor je 1) mensen letterlijk tot mentale slaaf kunt maken bijv door te te brainwashen in een spelletje van 'good vs evil' en 2) iedereen in diskrediet te brengen die hier over spreekt - er kan dan verwezen woorden naar sprookjes of naar films, of dat de persoon verward is en teveel hash gerookt heeft en wizard of Oz heeft gekeken

Dat de persoon door de psychopharma tak van het bedrijf iets binnen heeft gekregen dat staat buiten kijf

Maar wat jij nu doet is wat ook de zogenaamde oppositie doet, ze verwijzen naar mythes en legendes, zoals de wappies die conspiracy theorien propageren, die alles behalve de waarheid vertellen en zo onderdeel worden van het 'systeem'

Het systeem is een draak van een beest en het enige wat u er tegen kan beschermen is waarheid spreken, elke dag opnieuw.. of dat of u wordt slaaf in een virtuele matrix mindcontrol wereld..... degenen die hier in werken en ervoor betaald worden zijn zelf de grootste slaven, er valt niets aan te benijden, zij hebben immers al verloren en hun ziel ingeruild voor wat jij dan 'AI' zou noemen, ik noem het gewoon geld....

Spreek waarheid en ben onafhankelijk, ik doe het prima alleen en heb van niemand iets nodig ... want iedereen in de surveillance industrie wordt vroeg of laat uitgekotst, of ze staan zelf op het menu als psycho terrorist of de volgende gebrainwashte 'jesus figuur' die klaar is voor een ggz opname

Het zijn er inmiddels zoveel dat werkend Nederland behoorlijk wat belastingcenten moet neerleggen om al deze mensen te onderhouden omdat zij niet meer kunnen functioneren in de maatschappij...en... het worden er steeds meer.

We lezen ze wel in de krant of op geenstijl , wanneer de volgende systeemknecht over de rooie gaat , gelukkig hebben wij hier geen wapens anders we hier net als in de VS elke dag massamoorden...

Maar meer mensen worden wakker en weten zich via eenvoudige maatregelingen zelf te sanitizen zodat de magische trukendoos zero, nul punt nul effect heeft....

Verwacht ook niet dat binnen de overheid mensen die er weet van hebben zich uit zullen spreken, want ieder die er weet van heeft doet (in) direct mee aan het creeeren van hun eigen virtual reality hell , en anderen zijn weer bang dat ze hun baan verliezen of potentieel klokkenluider en dat betekent via subtiele tactieken naar discrediet, ggz, een ongeluk of anderszins drama....

Hoe weet een mens dat ze gebrainwashed zijn? Het begint meestal met "laat je ego achterwege" dan zullen zij jou herbouwen

Trap er niet in doe ik ook niet en ik leef nog steeds en mij gaat het inmiddels zeer goed.

Remember elke dag waarheid spreken of anders de hel

ps zij hebben geen macht over mij of jou. je hebt het zelf in de hand. speel je het spelletje mee? dan krijg je wel pech

Joost


Yup , zo gaat dat in de wereld... deze wereld is fake, ik zou er niet teveel waarde aan hechten.

Sociopaten zijn in control (denken ze) .

Het is wachten tot ze onderling gaan vechten.... ik heb de popcorn al klaar staan
09-07-2023, 13:03 door Anoniem

Het is wel vreemd dat er een onwetendheid/taboe op rust. Waarom? Alle taboes vroeg of laat worden opengebroken, dat was zo met vrouwenrechten en de lgbtq acceptatie en dit zal ook nog wel gemeengoed worden.

Jammer dat zoveel mensen niet meer aan de bak kunnen of met een verkeerde diagnose zijn afgeserveerd omwille van de dikke ego van een klein groepje psychopaten die helaas helaas zonder verstand van zaken vaak een hoge machtspositie hebben, of een dikke vinger in de pap omdat zij een DBA (data base admin) zijn van een belangrijke organisatie , waar de auditing op peil is en de enige methode om mee te gluren via sqldumps en backups gaat

Je zou maar zo'n volksverrader zijn, wat zou de straf zijn?

Ik lees met aandacht mee, en dacht jarenlang dat ik de enige was , of dat ik wanen had maar dus er zijn dus meer mensen die dezelfde ervaringen hebben..... Sinds kort heb ik ook besloten toe te treden tot team 'I will not comply'

>>>Je zou maar zo'n volksverrader zijn, wat zou de straf zijn?

De geschiedenis laat het leren. Wat ik het meest bizarre vind is dat ze onderling vooral vechten, wel twee partijen met lijstverbinding maar altijd onderlinge strijd en nooit eendracht. Altijd maar vechten, vooral binnen eigen gelederen.

Vroeger was dat al zo in de USSR, na de eerste purges van de linkse intellectuelen. Het geestelijk kind volgt de geestelijk vader op en wordt door de broertjes/companen weer vroegtijdig opzij geschoven, maar de manier waarop....

De exit strategie van leiders van de SED partij in Duitsland verloopt door de stress van de job wel heel natuurlijk:

Wilhelm Pieck , president van de partij (hartaanval)
Walter Ulbricht , opvolger Pieck (hartaanval)
Otto Grotewohl (hartaanval door aderverkalking)
Erich Honecker , opvolger Ulbricht (vlucht naar Argentinie, agressieve kanker)

Je zou haast zeggen dat duivelse ideologie slecht is voor je.
09-07-2023, 20:24 door Anoniem
Leerzaam draadje om te overdenken.

Er komt in deze tijd nogal wat op je af, dat je individuele vrije infogaring bedreigen kan.

Komend uit de stal van de ons veel te vroeg ontvallen FRAVIA (RIP), searchlore-guru & anti-ad/anti-smut activist, analyseer ik veel tijdens een kleine 20 jaar 3e partij koude recon website analyse en fouten jagen.

Je schrikt van het tracking- en profileringsgeweld van proprietaire lock-in Big Tech hand in voet' samenwerkend met Big Guv en de zoveel 'eyes'.

Hoe blijf je onafhankelijk binnen het fake systeem van de moderne AI demiurg en zijn menselijke verwerkelijkers van zijn agenda?

Ons onafhankelijk bewustzijn, wat we onze ziel en zaligheid noemen, willen ze ons laten opgeven in ruil voor een inferieure technologische slavernij variant, die hen alle macht moet verschaffen.

Goed om hier te lezen dat ik niet de enige ben met een dergelijke visie en opdracht in het leven.

Wordt dus bewust van wat er ook digitaal gaande is.
Alleen dan zijn wij weerbaar.

luntrus
10-07-2023, 10:10 door Bitje-scheef
Ik stel voor aan de moderatoren om een aparte sectie te maken met Psycho-Help-Sectie. Dan kunnen de dames/heren al hun gedachtenspinsels daarin posten en wellicht zijn er dan ook aanvullingen en uiteindelijk hulp.

Leipe shit ouwe, hoor ik al roepen.
10-07-2023, 11:30 door Erik van Straten
Door Bitje-scheef: Ik stel voor aan de moderatoren om een aparte sectie te maken met Psycho-Help-Sectie. Dan kunnen de dames/heren al hun gedachtenspinsels daarin posten en wellicht zijn er dan ook aanvullingen en uiteindelijk hulp.
Volstrekt mee eens. Filosofie kan interessant zijn, maar als steeds dezelfde mensen hun algemene ongenoegen over digitalisering (en zelfs zaken die dáár niets mee te maken hebben) uiten zonder dit met nieuwe feiten te onderbouwen (lees: eindeloos herkouwen), notabene in een draad over technische beveiligingsaspecten van RDP, is voor mij de lol eraf.
10-07-2023, 12:45 door Anoniem
Dan moet men aangeven, dat alleen technische zaken aan de orde kunnen en mogen komen en geen achtergronden aangaande belangrijke overheidsmaatregelen als CSS chat-control.

Zo doe je wel de discussie mede op slot of geef eens aan hoe je zo'n monsterlijke beslissing netjes weet te ontgaan?

Voor ons is de lol eraf als staatsactoren alles voor het zeggen krijgen en een discussie op voorhand kunnen afserveren.
10-07-2023, 14:29 door Erik van Straten
Door Anoniem: Dan moet men aangeven, dat alleen technische zaken aan de orde kunnen en mogen komen [...]
Dat geeft "men" (de eigenaar van deze site) aan in haar Huisregels (https://www.security.nl/rules) zodat dit niet in elk topic herhaald hoeft te worden (alhoewel velen en sommige (?) moderatoren er scheit aan hebben als ik wél expliciet schrijf dat je je eigen draad moet beginnen als je ergens ánders jouw mening over wilt opdringen):
• Blijf bij het onderwerp, reageer niet off-topic
• Reageer alleen inhoudelijk
Bovendien is dit een topic in het subforum "Computerbeveiliging". Hoe moeilijk kan het zijn?

Vrijheid van meningsuiting betekent niet dat je andere discussies mag verstoren; dat verziekt het voor iedereen - en uiteindelijk ook voor jouzelf (en andere niet van jou te onderscheiden Anoniemen): door overal, conform jouw "geloofsovertuiging", jouw voet tussen de deur te zetten, bereik je niet zelden het tegenovergestelde van wat je nastreeft. Ongetwijfeld komen er wel een paar gelijkgezinden op jouw strontlucht af, reagerend met inhoudloze metoo's (zoals "Joost", "luntrus" en/of "webproxy"), maar serieus geïnteresseerden in het feitelijke onderwerp kijken dan allang niet meer of er nog lezenswaardige bijdragen verschijnen onder MIJN topic.

Verziekt, no thanks.
11-07-2023, 19:47 door Anoniem
Door Anoniem: Dan moet men aangeven, dat alleen technische zaken aan de orde kunnen en mogen komen en geen achtergronden aangaande belangrijke overheidsmaatregelen als CSS chat-control.

Zo doe je wel de discussie mede op slot of geef eens aan hoe je zo'n monsterlijke beslissing netjes weet te ontgaan?

Voor ons is de lol eraf als staatsactoren alles voor het zeggen krijgen en een discussie op voorhand kunnen afserveren.

100% mee eens. Ook als deze staatsactoren eventueel Westers blijken te zijn. De republikeinse agenda voerde ook disinformatie op Nederlandse kanalen via die radio dj Robert Jensen.

Zal mij ook niets verbazen als allerlei forums en kranten worden volgeschreven met onzin.

Maar wij laten ons niet wegpesten van security.nl

De (buitenlandse) gaslighters zullen onze diskoers niet verpesten. Hoezeer zij ons ook immiteren. Wij delen hier kennis en dat doen wij gratis en zonder winst. Zouden ze een voorbeeld aan mogen nemen
14-07-2023, 12:41 door Anoniem
Ik ben gestopt met lezen na "met de in [1] beschreven RDStealer malware geïnfecteerd is". Wat wil je dan nog. RDP kan je niet aan het internet hangen. Bijna niets van Microsoft kan je aan het internet hangen.
14-07-2023, 22:10 door Erik van Straten
Door Anoniem: Ik ben gestopt met lezen na "met de in [1] beschreven RDStealer malware geïnfecteerd is". Wat wil je dan nog. RDP kan je niet aan het internet hangen. Bijna niets van Microsoft kan je aan het internet hangen.
Een RDP server (of PC die via RDP benaderd wordt) hoeft niet "aan internet te hangen" om met deze malware geïnfecteerd te raken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.