Недавно ко мне внедрились на комп по RDP и попытались сменить пароль на биржу Bittrex.
Благо, стояла двухфакторка (да и денег там немного).
Фишка в том, что в Хроме постоянно авторизован Gmail. И это жутко удобно. Но и минус в том, что сайты, которые на эту почту зареганы, злоумышленник по удалёнке может взломать за 5 минут.
Я понимаю, что тут напрашивается ответ - использовать для финансовых аккаунтов другие почты, и не запоминать там вход..
Но в данной ситуации - возможно ли прикрутить нечто вроде pin кода на почту/вкладку?
Как то вы путаетесь в терминах :) то по rdp, то по powershell к вам подключились и антивирус не заметил. А он и не должен, должен фаервол был зарубить внешний коннект. А вот если это был троян, malware - то уже тут должен отработать антивирус.
По вашему запросу - поможет двухфакторная аутентификация (если она поддерживается сервисом).
По факту - Вам срочно необходимо повысить компьютерную грамотность.
Больно по моему самолюбию ударили. С 97г занимаюсь компьютерами, начинал с dos и win 3.11, учил сам, по книгам, потом уже пошли советы, потом интернет. Работал и эникеем, и админом, и программы писал.
Термин Rdp применил для простоты. Хотел написать "по удаленке", но подумал, что слишком обыденный термин. Какая там технология использовалась, увы, не знаю.
Двухфакторка помогает, но не везде она есть. А где-то она только на ту же почту, что иронично.
Антивирус мог бы сработать на факт сцепки легального по и вот такой странной фигни. При этом, установщик был подписан цифровой подписью.
Доступ к сети я установщику сам дал, ведь оно выкачивалось из Интернета. Да, такого файрвола, чтобы удобно анализировать куда бегают пакеты, сейчас не стоит, увы. Всегда с ними мучался, либо не помогают, либо требуют постоянной подкрутки.
Насколько я вижу из Ваших слов, у Вас нету глубокого понимания процессов на низких уровнях взаимодействия, только на поверхностном.
Я могу быть не прав, потому что делаю выводы только из текста, а Вы могли не правильно этот текст подать.
Однако, такая вероятность не велика, уже судя по Вашим комментариям, поэтому советую не идти на поводу у своего эго, а пересмотреть знакомые вещи :)
Как правило, специалисты в этой области знают термины backdoor, trojan horse, вместо "сцепки" используют "упаковка" и т.п.
Вам не нужно знать всё куда и что бегает, этот анализ netflow отнимет много времени и будет бесполезным. Достаточно запрещать всё и разрешать только доверяемым приложениям. Устанавливать только заведомо знакомые приложения из официального источника и регулярно обновляться.
Если есть нужда установить что-то подозрительное - всегда есть бесплатная виртуалка-песочница, в которой можно протестировать и проанализировать активность приложения :) И навряд ли вам подсунули какой то RAT, скорее всего просто атаковали пароль на учётке.. Если Вы конечно не качали софт с какого-нибудь freee-soft.xxx.com
cssman: ну как сказать. Я сам в юношестве баловался, прикрепляя к обычным установщикам всякие приколы. Утилита называлась что-то про суперклей, поэтому назвал по аналогии "сцепкой". А так, помню времена, когда упаковав exe можно было получить срабатывание антивируса на него, даже если внутри всё было максимально цивильно. Помню, на досуге писал самодельный простейший кейлоггер на Дельфи. Чем отличается бэкдор от трояна тоже знаю)
Работать с белым списком всегда было головной болью..
Софт для анализа торговых бирж скачал с фишингового сайта, там вместо .com поставили .net, причем был https с действительными подписями, и установщик был подписанный (хотя, кажется, винда ругнулась на подпись, и тут стоило уже усомниться). В целом, визуально очень правдоподобно. Поэтому и не особо побоялся дать ей доступ.
О какой атаке на учетку вы говорите? Ко мне втихаря подключился человек, моим курсором полез в браузере по почте шарить, пока я пошел чай заваривать.
Наличие https и подписи не значит, что всё "ОК" , SSL сертификаты отдают направо и налево :)
Чтобы сигнатуры не сработали нужен ещё обфускатор, помимо упаковщика. Но ещё остаётся шанс поймать эвристикой.
А вот теперь по вашим описаниям это похоже на RAT. Раньше такого Вы не говорили, к слову как и про курсор:
Нет, входили не через RDP. Я условно назвал. Какая-то уязвимость, пришитая к цивильной программе, не замеченная антивирусом. В общем, работает через Powershell, и так аккуратно входит, что даже экран не моргнет. Я то уследил, а потом почистил от зловреда комп, но неприятный осадок остался. Вдруг снова поймаю подобное когда-то.
Ну раз попались - повышайте осведомлённость, никакие средства Вас не спасут, если сами что-то откуда то поставите и все права ещё дадите.
У вас проблемы с безопасностью входа через RDP (видимо, простая пара логин/пароль), при чём тут гмыл и всё остальное? Похоже на попытку навесить замок на чемодан в доме, закрытом... занавеской.
Нет, входили не через RDP. Я условно назвал. Какая-то уязвимость, пришитая к цивильной программе, не замеченная антивирусом. В общем, работает через Powershell, и так аккуратно входит, что даже экран не моргнет. Я то уследил, а потом почистил от зловреда комп, но неприятный осадок остался. Вдруг снова поймаю подобное когда-то.
Это как спрашивать: У меня по SSH от ROOT подключаются, и ломают Apache плохие дяди :((( Что делать? ПАРОЛЬ МЕНЯТЬ!! И ФАЕРВОЛ НАСТРАИВАТЬ ЧТОБ ПОДКЛЮЧЕНИЯ ТОКО ПО SSH ТУНЕЛЮ ПРИНИМАЛ!!
Простой
Простой
