จะทราบได้อย่างไรว่ามีใครสามารถเข้าถึงคอมพิวเตอร์ Windows ของคุณจากระยะไกลได้หรือไม่?

มัลแวร์บางประเภทที่อันตรายที่สุดได้รับการออกแบบมาเพื่อเข้าถึงพีซีของเหยื่อจากระยะไกล เช่น โทรจันการเข้าถึงระยะไกล (RAT) และรูทคิทระดับ เคอร์เนล พวกมันทำงานแบบเงียบๆ ทำให้ยากต่อการตรวจจับ หากคุณกังวลว่าอาจมีใครบางคนเข้าถึงพีซี Windows ของคุณจากระยะไกลโดยไม่ได้รับอนุญาต โปรดเรียนรู้วิธีการยืนยันและลบภัยคุกคามดังกล่าว

สัญญาณเตือนเมื่อมีคนเข้าถึงพีซีของคุณ

แม้ว่าความพยายามในการเข้าถึงระยะไกลส่วนใหญ่นั้นจะเงียบไป แต่ก็ยังมีสัญญาณเตือนบางอย่างตามมา แม้ว่าสัญญาณเหล่านี้อาจบ่งบอกถึงความนิยมของ Windows แต่เมื่อนำมารวมกันก็ถือเป็นหลักฐานที่ชัดเจนของกิจกรรมการเข้าถึงระยะไกล

• พฤติกรรมของเมาส์/แป้นพิมพ์ที่ผิดปกติ : หากเคอร์เซอร์เคลื่อนไหวผิดปกติหรือมีการป้อนข้อความโดยที่คุณไม่ได้ดำเนินการใดๆ อาจเป็นงานของเครื่องมือระยะไกล แม้จะไม่ได้ควบคุมอย่างแข็งขัน เครื่องมือเหล่านี้ก็ยังอาจทำให้เกิดปัญหาได้ เช่น การกระโดดเคอร์เซอร์/การเทเลพอร์ต สัญญาณนี้ยังสามารถทำหน้าที่เป็นการยืนยันได้หากเมาส์และแป้นพิมพ์เริ่มดำเนินการเช่นการเข้าถึงแถบที่อยู่ของเบราว์เซอร์และป้อนที่อยู่เว็บไซต์
• โปรแกรมที่เปิดและปิดเอง : แฮกเกอร์ยังสามารถส่งคำสั่งเพื่อเปิดแอปพลิเคชันเฉพาะ (เช่นซอฟต์แวร์ป้องกันไวรัสหรือCommand Prompt ) เพื่อควบคุมระบบมากขึ้นหรือปิดใช้งานคุณสมบัติความปลอดภัย หากคุณเห็นโปรแกรมเปิดและปิดเองนั่นเป็นสัญญาณเตือน
• การสร้างบัญชีผู้ใช้ใหม่ที่ไม่รู้จัก : ผู้ไม่ประสงค์ดีบางรายอาจพยายามสร้างบัญชีรองเพื่อให้เข้าถึงได้อย่างต่อเนื่องแม้หลังจากตรวจพบก็ตาม พวกเขาอาจจะปิดการใช้งานคุณสมบัติการสลับผู้ใช้เพื่อซ่อนบัญชีจากหน้าจอล็อค ไปที่การตั้งค่า Windows -> บัญชีและค้นหาบัญชีรองภายใต้ครอบครัวและผู้ใช้รายอื่น

• ประสิทธิภาพลดลงกะทันหัน : การใช้งานรีโมทคอนโทรลยังใช้ทรัพยากรมาก ดังนั้นคุณอาจสังเกตเห็นว่าประสิทธิภาพลดลงกะทันหัน สิ่งนี้ควรพิจารณาเป็นพิเศษหากประสิทธิภาพลดลงเป็นครั้งคราวเนื่องจากการทำงานของรีโมทคอนโทรล
• Windows Remote Desktop เปิดใช้งานโดยอัตโนมัติ : Windows Remote Desktop มีความเสี่ยงค่อนข้างมาก ดังนั้นแฮกเกอร์จึงมักใช้ฟีเจอร์นี้เพื่อสร้างการเชื่อมต่อระยะไกล ฟีเจอร์นี้ถูกปิดใช้งานไว้ตามค่าเริ่มต้น ดังนั้นหากเปิดใช้งานโดยที่คุณไม่ได้ดำเนินการใดๆ แฮกเกอร์ก็สามารถทำได้ ในการตั้งค่า Windows ให้ไปที่ระบบ -> เดสก์ท็อประยะไกลและดูว่าฟีเจอร์นี้เปิดใช้งานอยู่หรือไม่

วิธีการยืนยันว่ามีการเข้าถึงพีซีของคุณจากระยะไกล

หากคุณสังเกตเห็นสัญญาณดังกล่าวข้างต้น ให้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อยืนยันความสงสัยของคุณ คุณสามารถตรวจสอบกิจกรรมของส่วนประกอบ/แอปพลิเคชันที่เกี่ยวข้องกับกระบวนการการเข้าถึงระยะไกลเพื่อยืนยันว่ามีคนกำลังเข้าถึงพีซี Windows ของคุณ ต่อไปนี้เป็นวิธีการที่เชื่อถือได้มากที่สุดบางส่วน:

ตรวจสอบบันทึก Windows Event Viewer

Windows Event Viewerเป็นเครื่องมือในตัวที่ยอดเยี่ยมสำหรับการตรวจสอบกิจกรรมของผู้ใช้ และช่วยตรวจจับความพยายามในการเข้าถึงระยะไกลโดยการตรวจสอบกิจกรรม RDP และบันทึกการเข้าสู่ระบบ

ค้นหา "event viewer" ใน Windows Search และเปิด Event Viewer

ไปที่Windows Logs -> ความปลอดภัยและคลิก แท็บ Event IDเพื่อเรียงลำดับเหตุการณ์ตาม ID ค้นหากิจกรรมทั้งหมดที่มี ID 4624และตรวจสอบรายละเอียดเพื่อให้แน่ใจว่าไม่มีกิจกรรมใดมีประเภทการเข้าสู่ระบบ 10 รหัสเหตุการณ์ 4624 ใช้สำหรับความพยายามเข้าสู่ระบบ และประเภทการเข้าสู่ระบบ 10 สอดคล้องกับการเข้าสู่ระบบระยะไกลโดยใช้บริการการเข้าถึงระยะไกลที่แฮกเกอร์อาจใช้

คุณสามารถค้นหารหัสเหตุการณ์4778 ได้ด้วย เนื่องจากแสดงการเชื่อมต่อเซสชันระยะไกลใหม่ หน้ารายละเอียดของแต่ละกิจกรรมจะแจ้งข้อมูลระบุตัวตนที่สำคัญให้คุณทราบ เช่น ชื่อบัญชีหรือที่อยู่ IP เครือข่าย

ตรวจสอบปริมาณการใช้งานเครือข่าย

การเข้าถึงระยะไกลขึ้นอยู่กับการเชื่อมต่อเครือข่าย ดังนั้นการตรวจสอบการรับส่งข้อมูลบนเครือข่ายจึงเป็นวิธีการที่เชื่อถือได้ในการตรวจจับ เราขอแนะนำให้ใช้ GlassWire เวอร์ชันฟรีสำหรับวัตถุประสงค์นี้ เนื่องจากจะตรวจสอบและป้องกันการเชื่อมต่อที่เป็นอันตรายโดยอัตโนมัติ

ในแอปพลิเคชัน GlassWire คุณจะเห็นการเชื่อมต่อแอปพลิเคชันทั้งหมดภายใต้ ส่วน GlassWire Protectแอปพลิเคชันจะประเมินการเชื่อมต่อและทำเครื่องหมายการเชื่อมต่อที่ไม่น่าเชื่อถือโดยอัตโนมัติ ในกรณีส่วนใหญ่ แอปพลิเคชันจะสามารถตรวจจับการเชื่อมต่อระยะไกลที่เป็นอันตรายและแจ้งเตือนคุณได้

นอกเหนือจากอัลกอริทึมของแอปแล้ว คุณยังสามารถมองหาเบาะแส เช่น การใช้ข้อมูลสูงของแอปที่ไม่รู้จักได้อีกด้วย การเชื่อมต่อระยะไกลใช้ข้อมูลถาวรจึงตรวจจับได้ง่าย

ดูงานที่กำหนดเวลาไว้

ความพยายามในการเข้าถึงระยะไกลจำนวนมากได้รับการจัดการโดยใช้เครื่องมือตัวกำหนดเวลางานใน Windows ซึ่งช่วยให้พวกเขาสามารถอยู่รอดได้แม้จะรีบูตพีซีและดำเนินการงานต่างๆ โดยไม่ต้องทำงานต่อเนื่อง หากพีซีของคุณติดไวรัส คุณจะเห็นงานจากแอพพลิเคชั่นที่ไม่รู้จักในตัวกำหนดเวลางาน

ค้นหา “task Scheduler” ใน Windows Search และเปิดแอปพลิเคชัน Task Scheduler ในแผงด้านซ้าย เปิดตัวกำหนดเวลางาน (ภายในเครื่อง) -> ไลบรารีตัวกำหนดเวลางาน มองหาโฟลเดอร์แปลกหรือที่น่าสงสัยอื่นๆ นอกเหนือจาก Microsoft หากคุณพบโฟลเดอร์ใด ๆ ให้คลิกขวาที่งานแล้วเลือกคุณสมบัติ

ในคุณสมบัติให้ดูที่ แท็ บทริกเกอร์และการดำเนินการเพื่อดูว่างานทำอะไรและดำเนินการเมื่อใด ซึ่งน่าจะเพียงพอต่อการเข้าใจว่างานนั้นแย่หรือไม่ ตัวอย่างเช่น หากงานรันแอปพลิเคชันหรือสคริปต์ที่ไม่รู้จักเมื่อเข้าระบบหรือเมื่อระบบไม่ได้ใช้งาน งานดังกล่าวอาจเป็นอันตรายได้

หากคุณไม่พบงานที่น่าสงสัย คุณอาจต้องการดูใน Microsoft เป็นไปได้ว่ามัลแวร์ที่ซับซ้อนกำลังซ่อนอยู่ในโฟลเดอร์ระบบ ค้นหางานที่ดูน่าสงสัย เช่น มีชื่อทั่วไป เช่น "systemMonitor" หรือชื่อที่สะกดผิด โชคดีที่คุณไม่จำเป็นต้องค้นคว้างานแต่ละงาน เนื่องจากงานส่วนใหญ่จะเขียนโดย Microsoft Corporation ซึ่งสามารถละเว้นได้อย่างปลอดภัย