Malvér RDStealer je takmer všeobjímajúca hrozba využívaná prostredníctvom protokolu RDP (Remote Desktop Protocol). Tu je to, čo potrebujete vedieť.

Proces identifikácie nových a vznikajúcich hrozieb kybernetickej bezpečnosti nikdy nekončí – a v júni 2023 BitDefender Laboratóriá objavili časť malvéru, ktorý sa odvtedy zameriava na systémy využívajúce pripojenia vzdialenej pracovnej plochy 2022.

Ak používate protokol RDP (Remote Desktop Protocol), je dôležité určiť, či ste sa stali terčom útoku a či boli vaše údaje odcudzené. Našťastie existuje niekoľko spôsobov, ako zabrániť infekcii a odstrániť RDStealer z počítača.

Čo je RDStealer? Bol som cielený?

RDStealer je malvér, ktorý sa pokúša ukradnúť prihlasovacie údaje a údaje infikovaním servera RDP a monitorovaním jeho vzdialených pripojení. Nasadzuje sa spolu s Logutilom, zadným vrátkom používaným na infikovanie vzdialených plôch a umožňuje trvalý prístup prostredníctvom inštalácie RDStealer na strane klienta.

Ak malvér zistí, že vzdialený počítač sa pripojil k serveru a že je povolené mapovanie klientskych jednotiek (CDM), skenuje, čo je na počítači, a hľadá súbory, ako sú databázy hesiel KeePass, heslá uložené v prehliadači a súkromné ​​SSH kľúče. Zhromažďuje tiež stlačenia klávesov a údaje zo schránky.

instagram viewer

RDStealer sa môže zamerať na váš systém bez ohľadu na to, či je na strane servera alebo na strane klienta. Keď RDStealer infikuje sieť, vytvorí škodlivé súbory v priečinkoch ako "%WinDir%\System32" a "%PROGRAM-FILES%", ktoré sú zvyčajne vylúčené z celosystémovej kontroly škodlivého softvéru.

Malvér sa šíri prostredníctvom niekoľkých vektorov Bitdefender. Okrem vektora útokov CDM môžu infekcie RDStealer pochádzať z infikovaných webových reklám, škodlivých e-mailových príloh a kampaní sociálneho inžinierstva. Skupina zodpovedná za RDStealer sa zdá byť obzvlášť sofistikovaná, takže v budúcnosti sa pravdepodobne objavia nové vektory útokov – alebo vylepšené formy RDStealer.

Ak ty používať vzdialené plochy cez RDP, vašou najbezpečnejšou stávkou je predpokladať, že RDStealer mohol infikovať váš systém. Hoci je vírus príliš inteligentný na to, aby ho bolo možné ľahko manuálne identifikovať, môžete RDStealer odvrátiť zlepšením zabezpečenia protokolov na vašom serveri a klientskych systémoch a vykonaním úplnej antivírusovej kontroly systému bez zbytočností výluky.

Na infekciu z RDStealer ste obzvlášť zraniteľní, ak používate systém Dell, pretože sa zdá, že je špecificky zameraný na počítače vyrobené spoločnosťou Dell. Malvér bol zámerne navrhnutý tak, aby sa maskoval v adresároch ako „Program Files\Dell\CommandUpdate“ a používal domény príkazov a riadenia ako „dell-a[.]ntp-update[.]com“.

Zabezpečte svoju vzdialenú plochu proti RDStealer

Najdôležitejšia vec, ktorú môžete urobiť, aby ste sa ochránili pred RDStealer, je byť na webe opatrný. Aj keď nie je známe veľa podrobností o tom, ako sa RDStealer šíri okrem pripojení RDP, je dostatočná opatrnosť, aby ste sa vyhli väčšine vektorov infekcie.

Použite viacfaktorové overenie

Bezpečnosť pripojení RDP môžete zlepšiť implementáciou osvedčených postupov, ako je viacfaktorová autentifikácia (MFA). Vyžadovaním sekundárnej metódy autentifikácie pre každé prihlásenie môžete zabrániť mnohým typom RDP hackov. Ďalšie osvedčené postupy, ako napríklad implementácia overovania na úrovni siete (NLA) a používanie sietí VPN, môžu tiež znížiť príťažlivosť vašich systémov a ich ľahké narušenie.

Šifrujte a zálohujte svoje údaje

RDStealer efektívne kradne dáta – a okrem obyčajného textu nájdeného v schránkach a získaného z keyloggingu hľadá aj súbory ako KeePass Password Databases. Aj keď krádež údajov nemá žiadnu pozitívnu stránku, môžete si byť istí, že s akýmikoľvek ukradnutými údajmi sa ťažko pracuje ak ste dôslední pri šifrovaní súborov.

Šifrovanie súborov je pomerne jednoduchá vec so správnym sprievodcom. Je tiež mimoriadne účinný pri ochrane súborov, pretože hackeri budú musieť vykonať náročný proces na dešifrovanie zašifrovaných súborov. Aj keď je možné dešifrovať súbory, hackeri s väčšou pravdepodobnosťou prejdú na ľahšie ciele – a v dôsledku toho nemusíte vôbec trpieť porušením. Okrem šifrovania by ste mali svoje údaje pravidelne zálohovať, aby ste predišli neskoršej strate prístupu.

Nakonfigurujte svoj antivírus správne

Správna konfigurácia antivírusu je tiež dôležitá, ak chcete chrániť svoj systém. RDStealer využíva skutočnosť, že mnohí používatelia vylúčia celé adresáre namiesto konkrétnych odporúčaných súborov vytvorením škodlivých súborov v týchto adresároch. Ak chcete, aby váš antivírus našiel a odstránil RDStealer, musíte to urobiť zmeniť vylúčenia skenera zahrnúť iba konkrétne odporúčané súbory.

Pre informáciu, RDStealer vytvára škodlivé súbory v adresároch (a ich príslušných podadresároch), ktoré zahŕňajú:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md úložný softvér\md konfiguračný nástroj\

Mali by ste upraviť vylúčenia antivírusovej kontroly v súlade s pokynmi, ktoré odporúča Microsoft. Vylúčte len špecifické typy súborov a uvedené adresáre a nevylučujte nadradené adresáre. Skontrolujte, či je váš antivírus aktuálny a vykonajte úplnú kontrolu systému.

Držte krok s najnovšími správami o bezpečnosti

Aj keď tvrdá práca tímu v Bitdefender umožnila používateľom chrániť svoje systémy pred RDStealerom nie je jediným škodlivým softvérom, ktorého sa musíte obávať – a vždy existuje šanca, že sa vyvinie v novom a neočakávanom spôsoby. Jedným z najdôležitejších krokov, ktoré môžete podniknúť na ochranu svojho systému, je držať krok s najnovšími správami o nových hrozbách kybernetickej bezpečnosti.

Chráňte svoju vzdialenú plochu

Aj keď sa každý deň objavujú nové hrozby, nemusíte sa vzdať toho, že sa stanete obeťou ďalšieho vírusu. Vzdialenú plochu môžete ochrániť tým, že sa dozviete viac o možných vektoroch útokov a zlepšíte ich bezpečnostné protokoly vo vašich systémoch a interakciu s obsahom na webe zo zamerania na bezpečnosť perspektíva.