シャドウリモートデスクトッププロトコルセッション、予期せぬDNSレコードの変更、ローカル脆弱性スキャンといった異常は、防御側が注意深く監視する必要があります。
Seker氏はさらに、資産インベントリの検証、未知のリモートデスクトップリスナーやサービスのチェックを推奨しています。
「この種のマルウェアの検出は困難ですが、不可能ではありません」と、隠されたリモートデスクトップ機能について付け加えました。
このマルウェアは、正規のユーザーセッションへのアクセスを許可するように見せかけて動作する可能性があります。
コメント