Вирус для общего доступа к

Обновлено: 19.04.2024

В условиях стремительно прогрессирующей компьютеризации, вопрос информационной безопасности является как никогда важным в настоящее время. Сейчас почти каждый персональный компьютер имеет доступ в Интернет, уже не говоря об коммерческих организациях, государственных структурах и т.д. Очевидно, что на каждом компьютере может содержаться информация, представляющая интерес для другого человека, будь это текстовый файл, фотография или база данных пользователей почтового сервера. Чтобы обезопасить компьютер от угрозы взлома существует множество программ, способов и техник — это антивирусы, файерволы, всевозможные системы контроля доступа и т.д. В идеале самая безопасная схема — это отсутствие Интернета на компьютере, содержащем секретную информацию, однако даже этот вариант позволяет обезопасить компьютер только от удаленного взлома. В последующих статьях я постараюсь сделать обзор существующих в настоящее время компьютерных угроз и возможные способы борьбы с ними.

Компьютерные вирусы

1. Трояны и бэкдоры

Наиболее распространенный тип вирусов, в основном распространяемый по электронной почте. Чтобы не вызывать подозрений, исполняемый вирусный файл маскируется под известный формат, например документ MS Word, PDF, или графический jpeg. В свою очередь здесь существует тоже несколько способов сокрытия вредоносного содержимого. В большинстве случаев троян представляет собой PE- файл, поэтому получив на электронную почту файл *****.exe среднестатистический пользователь, обладающий некоторой компьютерной грамотностью, скорее всего такой файл открывать не станет. Иногда троян маскируется под тот же самый текстовый документ, заменяя свою иконку на значок документа MS Word 2007, хотя по факту файл имеет расширение .exe или .scr (файл заставки Windows), а так как у большинства пользователей Windows параметр отображения расширений файлов не активирован, то для них вирусный файл будет отображаться просто как текстовый документ, который, при соответствующем названии будет непременно открыт. Такая схема маскировки является наиболее примитивной и без труда будет обнаружена антивирусом (если же конечно он установлен). Наиболее сложным способом скрыть вирус является уязвимость по переполнению буфера в таких продуктах как Microsoft Office и Adobe Acrobat. На данную тему в Интернете содержится много информации, поэтому нет смысла полностью описывать принцип действия данной уязвимости, в общем же случае переполнение буфера — это явление, которое возникает, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера. В общем виде процесс выглядит следующим образом. Вирус содержится в теле документа MS Word или Adobe Acrobat, однако чтобы ему отработать необходимо, чтобы всё тот же MS Word в ходе открытия документа выполнил переполненную хакером функцию, в результате чего адрес возврата из функции в основное тело программы изменится на адрес начала вирусного кода. То есть когда пользователь открывает документ, вместе с этим выполняется вирусный код, внешне заметить это довольно сложно, например, при открытии инфицированного документа Word, программа может очень быстро перезапуститься, после чего откроется текст самого документа. Подробное описание данного вида уязвимости я постараюсь разобрать в следующих статьях.

Для полноценной работы вируса ему необходимо работать в ring0 (уровень ядра), где ему доступны все системные инструкции. Для перехода в ring0 могут использоваться различные способы — собственные написанные драйвера и прочие премудрости.

На данный момент одним из самых популярных бэкдоров являются ZeuS, и пришедший ему на смену SpyEye, созданные для кражи банковской информации с ПК. Оба вируса имеют панель управления через Web-интерфейс, где показано, на какой машине активирован вирус, и доступен ли он в данный момент онлайн. Исходный код этого вируса доступен для скачивания в сети, хоть и его владелец предлагает сам вирус, а так же техническую поддержку всего за 10 тысяч рублей. ZeuS обладает кучей параметров для настройки серверной части, что таким образом облегчает жизнь для юного хакера — нет необходимости писать вирус самому. Да и чтобы написать вирус такого уровня необходим огромный багаж знаний и полное понимание всех мельчайших деталей работы операционной системы (в данном случае Microsoft Windows). Единственно, что потребуется от юного хакера — это закриптовать вновь собранный ZeuS, чтобы его не обнаружили антивирусные программы. Объявлений по оказанию услуг на этот счет в сети можно найти несметное множество и за символическую плату в одну или две тысячи рублей, а иногда и больше. Вообще данный вирус требует отдельной статьи с подробным описанием принципа работы благодаря своему широкому диапазону возможностей.

Всем привет, подхватил вирус-майнер и удаленный доступ (RMS, rutserv.exe) 20.06.2020(17:03) ОС Windows 7 x64. При открытии ДЗ все становиться тихо, со временем сам диспетчер задач закрывается . Даже сам ProcessHacker закрывался через время и в левом нижнем углу ( там где датчик нагрузки на процессор) появляются маленькие окна, когда их закрываешь через ~3 минуты появляются снова. Было обнаружено во вкладке Network адреса codeload.github и набор букв напротив процессов блютуз, так же были задействованы процессы svchost.exe от моего имени (возможно тоже с этим связано). Удалил файлы (rutserv.exe rfuscluient) больше они не появлялись. Так же нашел пользователя в реестре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\John так же удалил. Файл hosts тоже почистил от каких-то айпи. После таких операций - ДЗ и ProcessHacher не закрывались, но в процесхакере все равно появляются маленькие окна, которые перекрывают нагрузку на ЦП. Хотел установить антивирус, но сначала не вышло, вирус блокировал установку, указывая на ошибку типо "неправильно указан путь". Даже пробовал запускать malwarebytes chameleon, который с тихой установкой, после перезагрузки вылетала ошибка. После этого лазил по папкам и наткнулся на скрытые папки в Programmdata с названиями популярных антивирусов (kaspersky, malwarebytes, avira, 360, adguard, grizzly больше не вспомню), которые были созданы в то же время, когда появился вирус, после их удаления - мог запустить загрузчик касперского и malwarebytes. Но толку от их установок - не было, потому что они ни чего не нашли. Старался по максимум находить папки с такой же датой 20.06.2020(17:03), находил батники и текстовые документы со своими почтами и паролями, скорее всего они уже слитые. некоторые блокировали доступ на просмотр,но я снимал запрет через свойства папок и удалял. Эти папки были пустыми; что же тогда от меня скрывать? я их просто удалил. Прошелся так же программой RogueKiller и он ругался на папку Mysql расположение было c:\windows\fonts\Mysql удалить он не смог и я полез искать ее; зайдя внутрь(с показом скрытых файлов и папок), я ничего не обнаружил только шрифты. Зашел в свойства и там было около 700 файлов и 1 папка. Чтобы удостовериться, что там действительно есть папка я открыл программу Everything и прописал название "Mysql". И да реально там была эта папка. Я попробовал ее удалить, но выскакивала ошибка "отсутствие доступа". Зашел в Безопасный режим и прописал rd /s /q "c:\windows\fonts\Mysql" и даже там мне был отказ в доступе. Потом прошелся Dr.web cureit (в безопасном режиме с использованием ком строки), он ничего не нашел. Я думаю, что в папке Mysql лежат файлы такие как puls.exe mance.exe eter.exe svchost.exe, так как читал на форуме похожую ситуацию.

Чувствуется падение производительности. Переустанавливать систему еще не пробовал, да и начитавшись, говорят, что вирус самовосстанавливается даже после форматирования.

Вирус taskhost.exe в папке C:\Windows\RealtekHD
В общем вирус блочит все упоминания антивирусов, закрывает диспетчер, видел на форуме такую же.

Подхватил вирус extsetup.exe,SOS
Здравствуйте, уже несколько дней пытаюсь побороть вирус который устанавливает незаметно на.

Вирус-майнер HostXmrig.exe
Добрый день. В папке C:\Windows\ создается папка HhSm, через некоторое время в папке C:\Windows\.

Несмотря на то, что решения для удаленного доступа уже много лет успешно работают на рынке и имеют многомиллионную аудиторию, они всегда вызывали у пользователей некоторые опасения в плане безопасности. Некоторые люди и компании принципиально отказывались ими пользоваться. Что ж, в чем-то их страхи оправдались: количество атак через протокол удаленного доступа не просто растет - во время пандемии оно вообще удвоилось. В этой статье расскажем о том, как обнаружить RDP-атаку, как защититься от нее на постоянной основе, а какие методы не настолько эффективны.

До недавнего времени корпоративный поток данных в подавляющем большинстве случаев циркулировал в контролируемой инфраструктуре. Но пандемия вынудила людей в спешке организовывать весь доступ к корпоративной среде в домашних условиях и незащищенных сетях Wi-Fi. Ну а уж любовь пользователей к простым паролям и нелюбовь к двухфакторной авторизации всегда были головной болью безопасников.

Этим немедленно воспользовались киберпреступники. И без того “популярные” атаки через протоколы удаленного доступа с начала строгого карантина пошли лавиной: ежедневно стало регистрироваться почти миллион таких попыток. Самый популярный из протоколов удаленного доступа - проприетарный протокол Microsoft RDP, поэтому такие атаки называют RDP-атаками. Хотя в той или иной степени уязвимо любое решение удаленного доступа.

Статистика

По данным Лаборатории Касперского, с начала марта 2020 года количество атак на RDP скачкообразно увеличилось. ESET в своем отчете говорит о более чем 100 тысячах новых RDP-атак в день - рост более чем в два раза по сравнению с первым кварталом.

Причина, в том числе, не только в переходе на удаленку, но и в спешке - для компаний при переезде “в карантин” главным было добиться работоспособности инфраструктуры, а ее безопасность стояла только второй задачей. Например, опрос специалистов по информационной безопасности, который провели в Positive Technologies, показал, что в связи с пандемией удаленный доступ им пришлось либо экстренно организовывать с нуля (11%), либо срочно масштабировать (41%).

Что такое RDP-атаки

Протокол RDP (Remote Desktop Protocol) - это один из наиболее популярных протоколов для подключения к удаленным рабочим столам, доступный во всех версиях Windows, начиная с XP. Помимо взаимодействия с удаленным компьютером он позволяет подключить к удаленной машине локальные диски, порты и другие устройства. Используется большинством админов Windows-сред для администрирования рабочих мест пользователей и серверов, экономя им много времени.

В протоколе постоянно находили уязвимости, причем так часто, что в 2018 году даже ФБР выпустило специальное предупреждение. В мае 2019 года в старых версиях протокола была обнаружена критическая уязвимость под названием BlueKeep. Всего через месяц после ее появления началась активная волна атак, использующих BlueKeep. Затем в августе того же года в протоколе нашли еще четыре новые уязвимости. Они были связаны не с протоколом RDP, а с сервисом удаленных рабочих столов RDS и позволяли с помощью специального запроса, отправленного через RDP, получить доступ к уязвимой системе, не проходя при этом процедуру проверки подлинности.

RDP-атака - это, по сути, атака brute force, в ходе которой подбирается логин и пароль или ключ шифрования для доступа к RDP путем систематического перебора всех возможных комбинаций символов, пока не будет найден верный вариант. Для длинных паролей может использоваться перебор по словарю, где вместо генерирования комбинации букв и цифр используется длинный список популярных или скомпрометированных паролей.

Цель - получить полный удаленный доступ к нужному компьютеру или серверу и проникнуть через него в корпоративную сеть, обладая всеми соответствующими правами и доступами. Атакующий внедряется в диалог двух систем в момент установления RDP-сессии и, расшифровав пакет, получает полный доступ к удаленной системе, причем без каких-либо нотификаций на стороне клиента или сервера, поскольку у него есть “правильный” сертификат.

А затем начинается собственно атака изнутри системы. Решения безопасности отключаются или удаляются, а затем либо начинается DDoS-атака, либо запускается программа-вымогатель, которая устанавливает пароль на доступ к базам данных с важной для компании информацией. Либо уводятся реальные персональные данные для credential stuffing и фишинга. Также можно использовать плохо защищенный RDP для установки программ для майнинга криптовалют или создания бэкдора (на случай, если несанкционированный доступ к RDP будет обнаружен и закрыт), для установки рекламного или шпионского ПО, SMS-троянов, и так далее. Этим можно полностью заразить все доступные в сети машины.

Существуют скрипты, которые способны по-максимуму использовать права пользователя, который подключается по RDP и всех последующих пользователей в цепочке RDP-подключений. Этот метод получил название RDPInception. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, то скрипт самокопируется в нужные директории и становится возможным атаковать все машины, поскольку при входе в систему выполняются скрипты, расположенные в Startup директории. Все, что подключается в этой цепочке, также может быть заражено.

Почему они опасны?

Плохо защищенное RDP-соединение может обеспечить преступникам доступ ко всей корпоративной системе. Например, зашифровка серверов компании программами-вымогателями, которые потом требуют выкуп, может быть крайне разрушительной для бизнеса. Тут показательна недавняя история очень крупного GPS-вендора Garmin, который был вынужден заплатить вымогателям $10 миллионов - по-другому их специалистам по безопасности решить проблему не удалось.

Технически такие атаки тоже становятся все более опасными. Во-первых, злоумышленники больше не работают точечно, а охватывают большие сегменты сетей.

Во-вторых, время простых атак уже прошло. Преступники используют сложные схемы и комбинируют методы. Так, в трояне TrickBot появился новый модуль rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль уже отметился в ряде атак на крупные компании, в том числе связанными с образованием и финансами.

В-третьих, персональные данные и инструменты для взлома, к сожалению, становятся все более доступными. Например, недавно исходный код Dharma, ransomware-as-a-service ПО, также нацеленного на RDP, выложили для продажи онлайн (извините, ссылку давать не будем). Растет количество утечек баз с паролями и словарей для перебора паролей, упоминавшиеся выше скрипты для взлома можно найти в открытом доступе, и там же есть готовые списки серверов, у которых открыт RDP порт. На рынке есть огромное количество ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль.

Наконец, средств для защиты либо недостаточно для “переборщиков паролей”, либо они не применяются. Часто компании даже не видят, что такая атака уже идет. Они могут заметить низкую производительность и долгое выполнение запросов, но лечат это оптимизацией памяти и другими нерелевантными методами.

Как понять, что RDP-атака началась

Снижается общая производительность, ответы на запросы становятся дольше (причем иногда вы не видите это в трафике - в нем нет ни очевидных всплесков, ни провалов, и нет аномалий в статистике нагрузки на вычислительные ресурсы).

Серверы не принимают соединения со службой удалённого доступа, пользователи не могут зайти на свои рабочие столы. При этом ситуация может то временно улучшаться, то ухудшаться. В целом серверы могут быть доступны и даже отвечать на ping.

Способы от них избавиться

Способов, на самом деле, множество, но в данной статье мы решили разделить их на полностью надежные и те, у которых или есть определенные недостатки, или их сложно реализовать, или они могут служить только временной мерой. Начнем с надежных.

Правильная система паролей

Недавнее исследование Verizon показало, что более 80% взломов связано не с уязвимостями протокола RDP, а именно с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификации. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при успешной атаке.

Система мониторинга всех запросов

Эффективный способ - мониторить весь входящий трафик и отслеживать все несанкционированные подключения и запросы. К системам мониторинга удаленных подключений можно добавить какие-то дополнительные системы отслеживания, которые помогут увидеть более полную картину происходящего. Например, можно включить решение Variti - Active Bot Protection, которое не только позволяет размечать все входящие запросы на предмет “бот - не бот”, начиная с самого первого, в режиме реального времени, но и вычислять и блокировать источники атаки. Подобное отслеживание может вестись на всех системных уровнях, включая транспортный уровень и уровень приложений. Это позволит, например, увидеть подозрительную ботовую активность, которая может быть признаком начала атаки.

Другой вариант: если нет централизованной системы контроля доступа, то можно создать скрипт на powershell, который сообщает о всех фактах и попытках авторизации. Наконец, можно настроить “События” на отображение всей доступной информации.

Network Level Authentication

NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В прошлом году именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.

Ряд других полезных практик:

Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).

Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.

Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Конечно, это непростая задача в условиях удаленки, но это должно быть частью корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.

По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).

Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.

Установите на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.

А теперь перейдем к вариантам, которые сложно назвать однозначными, потому что у них есть и плюсы, и минусы.

Организовать доступ через VPN

Помимо очевидных преимуществ, у этого варианта есть несколько сложностей.

Даже у тех, кто использует Virtual Private Network, иногда разрешена авторизация пользователя без пароля.

Практически во всех популярных VPN-решениях также есть уязвимости для несанкционированного доступа.

Если вы раньше не пользовались VPN, что поднимать в спешке IPSec-соединения - не самая простая задача.

В условиях полного домашнего “зоопарка” устройств и подключений к сети (как насчет выхода в интернет через сотовый модем?) на удаленке довольно тяжело объяснять и настраивать каждому из нескольких сотен пользователей, чтобы у пользователя все стабильно работало и не пропадало подключение к сети.

VPN-серверы тоже могут падать, причем в отличие от временного падения какого-то из сервисов, это может грозить серьезными последствиями. Получается, что VPN серверы становятся единой точкой отказа со всеми вытекающими последствиями.

VPN — это двойное шифрование (помимо стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование), что означает дополнительную нагрузку и более медленное подключение, что не очень хорошо в условиях нестабильного или не особо быстрого канала связи.

При взломе VPN (а это может быть при взломе роутера), если он настроен по умолчанию (или недостаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом можно получить доступ ко внутренней сети).

Использовать другие средства удаленного доступа

К сожалению, в них также есть уязвимости. Например, в конце прошлого года найдено 37 уязвимостей в разных клиентах, работающих с протоколом VNC.

Изменить настройки всех пользователей на другой порт

Наверное, наименее надежный способ из всех, хотя наверняка найдутся люди, у которых это прекрасно работает. Почему же он “не очень”?

Требует много времени на то, чтобы изменить настройки, если у вас много конечных пользователей, среди которых могут оказаться и клиенты. А ведь счет часто идет на минуты во время активной фазы атак. В этой ситуации нужно как можно быстрее устранить проблему с минимальным отрывом пользователей от дел.

Кроме того, это временное решение, потому что современные боты с интеллектуальной программой сканирования портов быстро найдут новый нестандартный порт. Из нашей анти-бот практики: боты ловят нестандартный порт от пары часов до пары дней. В общем, к вам все равно придут, хоть и позже. Возможно, переименование учетных записей типа Администратор, admin, user, user1 на более несловарные будет здесь даже более эффективно.

Ввести различные ограничения на подключения

Например, можно ограничить количество разрешенных одновременно открытых сеансов, минимизировать количество пользователей, которые могут подключаться к серверам организации через интернет, запретить доступ к серверу с более чем N IP адресов, ограничить количество разрешенных ошибочных попыток входа и время для этих попыток, установить время блокировки для входа в случае неправильного ввода пароля и так далее. Да, это помогает, но это нельзя назвать полноценным решением. К сожалению, как показывает практика, эти меры могут не дать заметного снижения количества атак, ведь боты работают круглосуточно и без остановки, а ограничения - это куча тонких настроек, где одно зависит от другого, а у самого администратора часто есть определенные ограничения на настройки.

Блокировка IP

Эффективный для поколения “кулхацкеров” метод - блокирование IP - в случае серьезных противников может быть бесполезным, а то и опасным. Во всяком случае, адреса, с которых идут атаки, меняются в очень широком диапазоне (атака на перебор часто идет с группы адресов и даже с разных подсетей), так что сама идея блокировки по адресам — это лечение последствий, а не болезни. IP адрес слишком легко подделать, атакующие могут применять сотни и с легкостью менять их. И есть большая вероятность, что они подставят его так, что будет заблокирован ваш собственный адрес или IP ваших клиентов.

К тому же блокировка отдельных IP на сервере Windows - не такая уж простая задача. Во-первых, в логах безопасности часто не видно IP того, кто пытается подключится - в некоторых случаях его можно увидеть только при успешной авторизации. В противном случае видно только логин, под которым пытались залогиниться, хотя события в журнале отмечаются. И тем более это сложно, если IP специально скрывается.

Кстати, если вы делаете это с помощью Windows Firewall, то через какое-то время Windows начинает сильно тормозить из-за переполненного правила Windows Firewall.

Давать доступ к данным только белому списку IP-адресов - тоже достаточно сложная вещь в условиях удаленки и домашних офисов - IP может плавать, так как пользователь задействует очень разные гаджеты, которые есть “в хозяйстве”, и все норовит поработать из кафе или парка с публичным вайфаем.

О дивный новый мир

Для многих компаний удаленная работа, вероятно, останется постоянной частью их корпоративной культуры, и с этим придется что-то делать. При этом уязвимости в RDP всплывают постоянно, и приходится регулярно гуглить, что же появилось нового.

Основная головная боль в том, чтобы защититься от RDP-атак в такой ситуации - это зоопарк устройств, на которых удаленно работают сотрудники, и сроки, так как проблему нужно решать быстро. И не нужно объяснять, что в каждой конкретной организации у администратора могут быть отдельные ограничения - кому-то выделяют только один порт под сервис, у кого-то нет подходящего железа и достаточного бюджета.

Единого ответа в том, как полностью обезопасить себя от таких нападений за счет одного-единственного инструмента, наверное, пока не существует (но, думаем, рынок усиленно над этим работает). К тому же и боты стали намного хитрее и сложнее, и хакеры стали более умными, и атаки более многоплановыми. Понадобится комплекс мер, ведь существует еще достаточно много вариантов защиты, кроме тех, о которых мы написали, в том числе аппаратных - межсетевые экраны, маршрутизаторы, виртуализация, разделение основной базы данных и многое другое.

Но, мы уверены, что самый важный и первый шаг - это четко увидеть, существует ли у вас такая проблема и насколько она серьезна. Так что включайте свои мониторинги. Второй шаг - это сделать все возможное, чтобы максимально усложнить жизнь хакеру. Есть огромная вероятность того, что столкнувшись хотя бы с несколькими приемами, хакер не будет тратить время на вас, а найдет жертву попроще.

У специалистов ИТ-отделов нет возможности следить за состоянием домашних компьютеров с точки зрения информационной безопасности. Поэтому хотелось бы узнать, могут ли каким-либо образом (буфер, локальные ресурсы) вирусы перейти на рабочие компьютеры сотрудников с их домашних. И если да, то как с этим бороться? Если они подключаются к терминальному серверу, то там много опций и вопрос решается быстро. А что делать если они подключаются к своим компьютерам на рабочих местах?

RDP не гарантирует защиты от вирусов. к примеру есть предупреждения, когда в парамерах подключения, разрешено мапить локальные дисковые устройства. но если вам нужен обмен файлами - придется разрешить

можно по другому сказать - как мимнимум, есть угроза заражения, при любом способе обмена файлами (флешка, сеть, в тч мапинг по RDP)

какой то особой защиты не требуется - если у вас есть антивирус, вам не чего добавить upd кроме как не делать ляпов

- не мапить устройства
- не качать файлы
- уволиться
- отключить интернет и сотовые
- уехать жить в тайгу или в горы

- 0day может быть найден везде. возможно и в RDP*, даже если заходите без доступа к локальным устройствам. доступ же предусмотрен протоколом, просто запрещен. а крутые зловреды создаются именно для обхода запретов
- все кто более менее интересовался темой ИБ, знакомы с одним из самых показательных случаев - Stuxnet. но если вы работаете там, где есть гостайна, за нее есть кому беспокоится
- если вы самый главный по ИТ/ИБ, в своей конторе, и задаете такой вопрос, думаю, что самая большая угроза, для вашей конторы, это обычные зловреды - майнеры, воры банковских данных, паролей, и тд. но защита от них, требует только повышения вашего общего уровня в ИТ/ИБ. говоря коротко - не делать ляпов, хотя бы выполнять рекомендации МС для администраторов. а их довольно легко искать. удачи

* еще пример экстрима - специалисты по ИБ, продемонстрировали выход в хостовую систему, даже из виртуалки. но не сохранил ссылку, или сохранил далеко, истории чуть не пару лет.. а может и более ))

frrykt, аа.. ну да.. но в домашних условиях (а мы говорим про удаленку) винда (не кряченая сборка, а свежая 10, с настройками по дефолту, и родным антивирем) нашпигована (по дефолту же) оными на столько, что многие считают это шпионажем, и нарушением личных прав ))

а на стороне офиса.. ну я там в ответе дописал про либо доверяйте своим админам, либо учите маны, если вы и есть админ

Я бы не пускал юзеров на свои локальные компы в сети удаленно, т.к. вы получаете Nое количество толком не контролируемых точек входа в сеть. Вирус то может туда и не проникнет, а вот сами пользователи смогут унести все что плохо лежит.
По уму выделить терминальный сервер в ДМЗ. С него предоставить доступ в ЛВС через дополнительный (не локальный) закрытый фаервол с доступом только к нужным сетевым ресурсам. Нужные файлы пользователи должны держать в доступных сетевых каталогах. В терминальном сервере оставить работающими только безопасные защищенные протоколы, настроить полноценный сертификат с собственным ЦА, обязательно включить авторизацию на уровне сети.

Нет.
Но при удаленном доступе пользователь может загрузить зараженные файлы и запустить их самостоятельно.

У специалистов ИТ-отделов нет возможности следить за состоянием домашних компьютеров с точки зрения информационной безопасности.

А такой необходимости и нет.
Зачем следить за безопасностью домашних компьютеров? Да пусть там хоть что будет.
Следить надо за безопасностью рабочей инфраструктуры - сервера терминалов или рабочей станции куда подключается пользователь.

Грамотная настройка исключает возможность заражения на 99,9%.
Под грамотной настройкой понимается в первую очередь настройка прав пользователей -как на доступ к файлам так и на запуск программ.

Читайте также:

  
• При желудочном гриппе болит желудок
  
• После прививки от клещевого энцефалита можно ли сдавать кровь на
  
• Каламин или неотанин при ветрянке что лучше
  
• Препараты против африканской чумы
  
• При гепатите с фиброз 4 стадия дают ли инвалидность