Một trong những loại phần mềm độc hại nguy hiểm nhất được thiết kế để truy cập từ xa vào PC của nạn nhân, chẳng hạn như Remote Access Trojan (RAT) và rootkit cấp kernel. Chúng hoạt động âm thầm, khiến việc phát hiện trở nên khó khăn. Nếu bạn lo lắng liệu ai đó có quyền truy cập từ xa trái phép vào PC Windows của mình hay không, hãy tìm hiểu cách xác nhận và xóa mối đe dọa.
Tìm kiếm "event viewer" trong Windows Search và mở Event Viewer.
Di chuyển đến Windows Logs -> Security và nhấp vào tab Event ID để sắp xếp các sự kiện theo ID. Tìm kiếm tất cả các sự kiện có ID 4624 và kiểm tra thông tin chi tiết của chúng để đảm bảo không có sự kiện nào có Logon Type 10. Event ID 4624 dành cho các nỗ lực đăng nhập và Logon Type 10 tương ứng với những lần đăng nhập từ xa bằng các dịch vụ truy cập từ xa mà tin tặc có thể sử dụng.
Bạn cũng có thể tìm Event ID 4778 vì nó hiển thị kết nối lại phiên từ xa. Trang chi tiết của mỗi sự kiện sẽ cho bạn biết các thông tin nhận dạng quan trọng, như tên tài khoản hoặc địa chỉ IP mạng.
Trong ứng dụng GlassWire, bạn sẽ thấy tất cả các kết nối ứng dụng trong phần GlassWire Protect. Ứng dụng sẽ tự động đánh giá các kết nối và gắn cờ những kết nối không đáng tin cậy. Trong hầu hết các trường hợp, ứng dụng sẽ có thể phát hiện những kết nối từ xa độc hại và cảnh báo bạn.
Ngoài các thuật toán của ứng dụng, bạn cũng có thể tìm kiếm những manh mối như mức sử dụng dữ liệu cao của một ứng dụng không xác định. Kết nối từ xa sử dụng dữ liệu liên tục, do đó, sẽ dễ dàng phát hiện.
Tìm kiếm “task scheduler” trong Windows Search và mở ứng dụng Task Scheduler. Trong bảng điều khiển bên trái, mở Task Scheduler (Local) -> Task Scheduler Library. Tìm bất kỳ thư mục nào lạ hoặc đáng ngờ ngoài Microsoft. Nếu bạn tìm thấy bất kỳ thư mục nào, hãy nhấp chuột phải vào tác vụ và chọn Properties.
Trong Properties, hãy xem qua các tab Triggers và Actions để tìm hiểu tác vụ thực hiện những gì và khi nào nó thực thi, điều này đủ để hiểu liệu nó có tệ không. Ví dụ, nếu tác vụ chạy một ứng dụng hoặc script không xác định khi đăng nhập hoặc khi hệ thống không hoạt động, thì tác vụ đó có thể nhằm mục đích xấu.
Nếu không tìm thấy tác vụ đáng ngờ, bạn có thể muốn xem thư mục Microsoft. Có khả năng phần mềm độc hại tinh vi đang ẩn trong các thư mục hệ thống. Tìm kiếm các tác vụ có vẻ đáng ngờ, chẳng hạn như có tên chung chung như "systemMonitor" hoặc tên viết sai chính tả. Rất may là bạn sẽ không phải nghiên cứu từng tác vụ, vì hầu hết sẽ có tác giả là Microsoft Corporation, có thể bỏ qua một cách an toàn.
Dấu hiệu cảnh báo khi có người truy cập vào PC của bạn
Mặc dù hầu hết các nỗ lực truy cập từ xa đều âm thầm, nhưng chúng vẫn đi kèm một số dấu hiệu cảnh báo. Mặc dù những dấu hiệu này có thể chứng minh cho sự phổ biến của Windows, nhưng khi kết hợp lại, chúng có thể là bằng chứng chắc chắn về hoạt động truy cập từ xa.- Hoạt động bất thường của chuột/bàn phím: Nếu con trỏ di chuyển thất thường hoặc văn bản được nhập mà không có sự can thiệp của bạn, thì đó có thể là tác phẩm của một công cụ từ xa. Ngay cả khi không chủ động kiểm soát, các công cụ này vẫn có thể gây ra những sự cố như con trỏ nhảy/dịch chuyển tức thời. Dấu hiệu này cũng có thể hoạt động như một sự xác nhận nếu chuột và bàn phím bắt đầu thực hiện các tác vụ như truy cập thanh địa chỉ của trình duyệt và nhập địa chỉ trang web.
- Các chương trình tự mở và đóng: Tin tặc cũng có thể gửi lệnh để mở các ứng dụng cụ thể (như phần mềm diệt virus hoặc Command Prompt) để kiểm soát hệ thống nhiều hơn hoặc vô hiệu hóa các chức năng bảo mật. Nếu bạn thấy các chương trình tự mở và đóng, đó là dấu hiệu cảnh báo.
- Tạo tài khoản người dùng mới không xác định: Một số kẻ xấu có thể cố gắng tạo tài khoản phụ để có quyền truy cập liên tục ngay cả sau khi phát hiện. Chúng có thể sẽ vô hiệu hóa tính năng chuyển đổi người dùng để ẩn tài khoản khỏi màn hình khóa. Vào Windows Settings -> Accounts và tìm tài khoản phụ trong phần Family và Other users.
- Hiệu suất chậm đột ngột: Hoạt động điều khiển từ xa cũng tiêu tốn nhiều tài nguyên, do đó bạn có thể nhận thấy hiệu suất giảm đột ngột. Điều này đặc biệt đáng cân nhắc nếu hiệu suất giảm thỉnh thoảng xảy ra do hoạt động điều khiển từ xa.
- Windows Remote Desktop được bật tự động: Windows Remote Desktop khá dễ bị tấn công, do đó tin tặc thường sử dụng tính năng này để tạo kết nối từ xa. Tính năng này bị tắt theo mặc định, do đó, nếu tính năng này được bật mà không có sự can thiệp của bạn, thì có thể là do tin tặc thực hiện. Trong Windows Settings, hãy vào System -> Remote Desktop và xem tính năng này đã được bật chưa.
Cách xác nhận
Nếu bạn nhận thấy các dấu hiệu trên, hãy thực hiện các bước cần thiết để xác nhận nghi ngờ. Bạn có thể theo dõi hoạt động của các thành phần/ứng dụng liên quan đến quy trình truy cập từ xa để xác nhận ai đó đang truy cập PC Windows của bạn. Sau đây là một số phương pháp đáng tin cậy nhất:Kiểm tra nhật ký Windows Event Viewer
Windows Event Viewer là một công cụ tích hợp tuyệt vời để theo dõi hoạt động của người dùng và giúp phát hiện các nỗ lực truy cập từ xa bằng cách theo dõi hoạt động RDP và nhật ký đăng nhập.Tìm kiếm "event viewer" trong Windows Search và mở Event Viewer.
Di chuyển đến Windows Logs -> Security và nhấp vào tab Event ID để sắp xếp các sự kiện theo ID. Tìm kiếm tất cả các sự kiện có ID 4624 và kiểm tra thông tin chi tiết của chúng để đảm bảo không có sự kiện nào có Logon Type 10. Event ID 4624 dành cho các nỗ lực đăng nhập và Logon Type 10 tương ứng với những lần đăng nhập từ xa bằng các dịch vụ truy cập từ xa mà tin tặc có thể sử dụng.
Bạn cũng có thể tìm Event ID 4778 vì nó hiển thị kết nối lại phiên từ xa. Trang chi tiết của mỗi sự kiện sẽ cho bạn biết các thông tin nhận dạng quan trọng, như tên tài khoản hoặc địa chỉ IP mạng.
Theo dõi lưu lượng mạng
Truy cập từ xa phụ thuộc vào kết nối mạng, do đó theo dõi lưu lượng mạng là cách đáng tin cậy để phát hiện ra. Bạn nên sử dụng phiên bản miễn phí GlassWire cho mục đích này vì nó vừa giúp theo dõi vừa tự động bảo vệ chống lại các kết nối độc hại.Trong ứng dụng GlassWire, bạn sẽ thấy tất cả các kết nối ứng dụng trong phần GlassWire Protect. Ứng dụng sẽ tự động đánh giá các kết nối và gắn cờ những kết nối không đáng tin cậy. Trong hầu hết các trường hợp, ứng dụng sẽ có thể phát hiện những kết nối từ xa độc hại và cảnh báo bạn.
Ngoài các thuật toán của ứng dụng, bạn cũng có thể tìm kiếm những manh mối như mức sử dụng dữ liệu cao của một ứng dụng không xác định. Kết nối từ xa sử dụng dữ liệu liên tục, do đó, sẽ dễ dàng phát hiện.
Xem các tác vụ đã lên lịch
Nhiều nỗ lực truy cập từ xa được quản lý bằng công cụ Task Scheduler trong Windows. Điều này giúp chúng tồn tại qua các lần khởi động lại PC và thực hiện những tác vụ mà không cần phải chạy liên tục. Nếu PC bị nhiễm virus, bạn sẽ thấy các tác vụ từ những ứng dụng không xác định trong Task Scheduler.Tìm kiếm “task scheduler” trong Windows Search và mở ứng dụng Task Scheduler. Trong bảng điều khiển bên trái, mở Task Scheduler (Local) -> Task Scheduler Library. Tìm bất kỳ thư mục nào lạ hoặc đáng ngờ ngoài Microsoft. Nếu bạn tìm thấy bất kỳ thư mục nào, hãy nhấp chuột phải vào tác vụ và chọn Properties.
Trong Properties, hãy xem qua các tab Triggers và Actions để tìm hiểu tác vụ thực hiện những gì và khi nào nó thực thi, điều này đủ để hiểu liệu nó có tệ không. Ví dụ, nếu tác vụ chạy một ứng dụng hoặc script không xác định khi đăng nhập hoặc khi hệ thống không hoạt động, thì tác vụ đó có thể nhằm mục đích xấu.
Nếu không tìm thấy tác vụ đáng ngờ, bạn có thể muốn xem thư mục Microsoft. Có khả năng phần mềm độc hại tinh vi đang ẩn trong các thư mục hệ thống. Tìm kiếm các tác vụ có vẻ đáng ngờ, chẳng hạn như có tên chung chung như "systemMonitor" hoặc tên viết sai chính tả. Rất may là bạn sẽ không phải nghiên cứu từng tác vụ, vì hầu hết sẽ có tác giả là Microsoft Corporation, có thể bỏ qua một cách an toàn.
Bài viết liên quan
Bài viết mới