Zlonamerna programska oprema RDStealer je skoraj vseobsegajoča grožnja, ki se uporablja prek protokola oddaljenega namizja (RDP). Tukaj je tisto, kar morate vedeti.

Proces prepoznavanja novih in nastajajočih groženj kibernetski varnosti se nikoli ne konča – in junija 2023 je BitDefender Laboratoriji so odkrili del zlonamerne programske opreme, ki je od takrat ciljala na sisteme, ki uporabljajo povezave z oddaljenim namizjem 2022.

Če uporabljate protokol oddaljenega namizja (RDP), je ključnega pomena ugotoviti, ali ste bili tarča in ali so bili vaši podatki ukradeni. Na srečo obstaja nekaj metod, s katerimi lahko preprečite okužbo in odstranite RDStealer iz računalnika.

Kaj je RDStealer? Ali sem bil tarča?

RDStealer je zlonamerna programska oprema, ki poskuša ukrasti prijavne poverilnice in podatke tako, da okuži strežnik RDP in spremlja njegove oddaljene povezave. Namešča se poleg Logutila, stranskih vrat, ki se uporabljajo za okužbo oddaljenih namizij in omogočanje trajnega dostopa prek namestitve RDStealerja na strani odjemalca.

instagram viewer

Če zlonamerna programska oprema zazna, da se je oddaljena naprava povezala s strežnikom in da je omogočeno preslikavo odjemalskega pogona (CDM), pregleduje, kaj je na napravi, in išče datoteke, kot so baze podatkov gesel KeePass, gesla, shranjena v brskalniku, in zasebni SSH ključi. Zbira tudi pritiske tipk in podatke o odložišču.

RDStealer lahko cilja na vaš sistem ne glede na to, ali je na strani strežnika ali na strani odjemalca. Ko RDStealer okuži omrežje, ustvari zlonamerne datoteke v mapah, kot sta »%WinDir%\System32« in »%PROGRAM-FILES%«, ki so običajno izključene pri skeniranju zlonamerne programske opreme celotnega sistema.

Zlonamerna programska oprema se glede na Bitdefender. Poleg vektorja napadov CDM lahko okužbe z RDStealer izvirajo iz okuženih spletnih oglasov, zlonamernih e-poštnih prilog in kampanj družbenega inženiringa. Skupina, odgovorna za RDStealer, se zdi še posebej prefinjena, zato se bodo v prihodnosti verjetno pojavili novi vektorji napadov ali izboljšane oblike RDStealerja.

Če ti uporaba oddaljenih namizij prek RDP, je najbolj varno domnevati, da je RDStealer morda okužil vaš sistem. Medtem ko je virus preveč pameten, da bi ga z lahkoto ročno identificiral, se lahko RDStealerju ubranite tako, da izboljšate varnost protokole na vašem strežniku in odjemalskih sistemih ter z izvajanjem protivirusnega pregleda celotnega sistema brez nepotrebnega izključitve.

Če uporabljate sistem Dell, ste še posebej ranljivi za okužbo z RDStealerjem, saj se zdi, da cilja posebej na računalnike, ki jih proizvaja Dell. Zlonamerna programska oprema je bila namerno zasnovana tako, da se prikrije v imenike, kot je »Program Files\Dell\CommandUpdate«, in uporablja domene ukazov in nadzora, kot je »dell-a[.]ntp-update[.]com«.

Zaščitite svoje oddaljeno namizje pred RDStealerjem

Najpomembnejša stvar, ki jo lahko naredite, da se zaščitite pred RDStealerjem, je, da ste v spletu previdni. Čeprav ni znanih veliko podrobnosti o tem, kako se RDStealer širi prek povezav RDP, zadostuje previdnost, da se izognete večini vektorjev okužbe.

Uporabite večfaktorsko avtentikacijo

Varnost povezav RDP lahko izboljšate z implementacijo najboljših praks, kot je večfaktorsko preverjanje pristnosti (MFA). Če za vsako prijavo zahtevate sekundarno metodo preverjanja pristnosti, lahko odvračanje številnih vrst vdorov RDP. Druge najboljše prakse, kot sta implementacija avtentikacije na ravni omrežja (NLA) in uporaba VPN-jev, lahko prav tako naredijo vaše sisteme manj privlačne in jih je enostavno vdreti.

Šifrirajte in varnostno kopirajte svoje podatke

RDStealer učinkovito ukrade podatke – in poleg navadnega besedila, ki ga najdemo v odložiščih in pridobimo s beleženjem tipk, išče tudi datoteke, kot je KeePass Password Databases. Čeprav kraja podatkov nima pozitivne strani, ste lahko prepričani, da je z ukradenimi podatki težko delati če skrbno šifrirate svoje datoteke.

Šifriranje datotek je relativno preprosta stvar s pravim vodnikom. Prav tako je izjemno učinkovit pri varovanju datotek, saj se bodo hekerji morali lotiti težkega postopka za dešifriranje šifriranih datotek. Čeprav je datoteke mogoče dešifrirati, je verjetneje, da se bodo hekerji premaknili k lažjim tarčam – in posledično morda sploh ne boste utrpeli kršitve. Poleg šifriranja morate tudi redno varnostno kopirati svoje podatke, da preprečite kasnejšo izgubo dostopa.

Pravilno konfigurirajte protivirusni program

Če želite zaščititi svoj sistem, je ključnega pomena tudi pravilna konfiguracija protivirusnega programa. RDStealer izkorišča dejstvo, da bodo številni uporabniki izključili celotne imenike namesto določenih priporočenih datotek, tako da bodo znotraj teh imenikov ustvarili zlonamerne datoteke. Če želite, da vaš protivirusni program najde in odstrani RDStealer, morate to storiti spremenite izključitve optičnega bralnika da vključi samo določene priporočene datoteke.

Za referenco RDStealer ustvari zlonamerne datoteke v imenikih (in njihovih podimenikih), ki vključujejo:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md programska oprema za shranjevanje\md konfiguracijski pripomoček\

Prilagodite svoje izključitve skeniranja virusov v skladu s smernicami, ki jih priporoča Microsoft. Izključite samo določene vrste datotek in navedenih imenikov in ne izključujte nadrejenih imenikov. Preverite, ali je vaš protivirusni program posodobljen, in izvedite popoln pregled sistema.

Bodite na tekočem z najnovejšimi varnostnimi novicami

Čeprav je trdo delo ekipe Bitdefender uporabnikom omogočilo zaščito njihovih sistemov pred RDStealerjem, ni edina zlonamerna programska oprema, ki bi vas morala skrbeti – in vedno obstaja možnost, da se bo razvila v nove in nepričakovane načine. Eden najpomembnejših korakov, ki jih lahko naredite za zaščito svojega sistema, je, da ste na tekočem z najnovejšimi novicami o nastajajočih grožnjah kibernetski varnosti.

Zaščitite svoje oddaljeno namizje

Čeprav se vsak dan pojavljajo nove grožnje, se vam ni treba sprijazniti s tem, da bi postali žrtev naslednjega virusa. Svoje oddaljeno namizje lahko zaščitite tako, da izveste več o potencialnih vektorjih napadov in izboljšate varnostne protokole v vaših sistemih in interakcijo z vsebino v spletu iz osredotočenega na varnost perspektiva.