Virtual Network Computing (VNC) - это графическая система совместного использования рабочего стола, позволяющая пользователю удаленно управлять другим компьютером. Она состоит из клиентского и серверного компонентов, где серверный компонент установлен на удаленной системе, а клиентский - на локальной. Клиент позволяет пользователю видеть рабочий стол удаленной системы и взаимодействовать с ней, как если бы он физически присутствовал на ней, а сервер передает входные и выходные данные между двумя системами.
Службы удаленного доступа: VNC
VNC можно использовать в качестве Службы удаленного доступа, поскольку она позволяет пользователям получать доступ к рабочему столу системы и управлять им удаленно. Это может быть полезно для удаленной поддержки, удаленного администрирования и других удаленных задач. Он поддерживается на различных платформах, включая Windows, Mac, Linux и другие операционные системы.
Использование VNC злоумышленниками
Злоумышленники могут использовать VNC для различных целей в своих атакующих кампаниях. Некоторые примеры использования злоумышленниками VNC включают:
Удаленный доступ и выполнение команд
Злоумышленники могут использовать VNC для удаленного входа в систему и выполнения команд или скриптов напрямую или через обратную оболочку. Это можно сделать с помощью VNC-клиента, подключившись к IP-адресу и порту VNC-сервера на удаленной системе и авторизовавшись с помощью действительного имени пользователя и пароля. Подключившись, злоумышленник может взаимодействовать с рабочим столом удаленной системы и выполнять команды.
Латеральное перемещение
Злоумышленники могут использовать VNC для латерального перемещения в сети, входя в другие системы и получая доступ к их ресурсам. Это можно сделать с помощью VNC-клиента, подключившись к IP-адресу и порту VNC-сервера на удаленной системе и авторизовавшись с помощью действительного имени пользователя и пароля. Подключившись, злоумышленник может взаимодействовать с рабочим столом удаленной системы и, возможно, переходить к другим системам.
TrickBot, модульный ботнет и банковский троянец, использует модуль VNC для удаленного управления и модуль SMB для бокового перемещения во взломанной сети. TrickBot также использует VNC для кражи учетных данных путем поиска аффикса .vnc.lnk.
Эксфильтрация данных
Злоумышленники также используют VNC для утечки конфиденциальных данных. Исследователи Mandiant обнаружили новый вариант вредоносной программы URSNIF под названием LDR4, представляющий собой универсальный бэкдор, предназначенный для облегчения таких операций, как утечка данных. Существенным отличием от предыдущих вариантов URSNIF является то, что LDR4 включает модуль VNC (VncDLL.dll) для подключения к удаленному серверу C2.
Распространение вредоносного ПО
Еще один случай использования VNC злоумышленниками - распространение вредоносного ПО. В августе 2022 года исследователи компании Cyble обнаружили новую вредоносную программу под названием MikuBot, которая представляет собой вредоносного бота, запускающего скрытые VNC-сессии, позволяющие злоумышленнику получить удаленный доступ к машине жертвы, распространяться по USB, загружать и исполнять дополнительные вредоносные программы.