Kenkėjiška „RDStealer“ programa yra beveik visa apimanti grėsmė, naudojama nuotolinio darbalaukio protokolu (RDP). Štai ką reikia žinoti.

Naujų ir kylančių kibernetinio saugumo grėsmių nustatymo procesas niekada nesibaigia – 2023 m. birželį „BitDefender“ Laboratorijos aptiko dalį kenkėjiškų programų, kurios nuo tada buvo nukreiptos į sistemas, naudojančias nuotolinio darbalaukio ryšius 2022.

Jei naudojate nuotolinio darbalaukio protokolą (RDP), labai svarbu nustatyti, ar buvote nukreipti ir ar jūsų duomenys nebuvo pavogti. Laimei, yra keletas būdų, kuriais galite apsisaugoti nuo infekcijos ir pašalinti RDStealer iš kompiuterio.

Kas yra RDStealer? Ar buvau nukreiptas į mane?

RDStealer yra kenkėjiška programa, kuri bando pavogti prisijungimo kredencialus ir duomenis užkrėsdama KPP serverį ir stebėdama jo nuotolinius ryšius. Jis įdiegiamas kartu su „Logutil“ – užpakalinėmis durimis, naudojamomis nuotoliniams darbalaukiams užkrėsti ir nuolatinei prieigai įgalinti diegiant „RDStealer“ kliento pusėje.

instagram viewer

Jei kenkėjiška programa aptinka, kad nuotolinis įrenginys prisijungė prie serverio ir įjungtas kliento disko susiejimas (CDM), nuskaito, kas yra įrenginyje, ir ieško failų, pvz., „KeePass“ slaptažodžių duomenų bazių, naršyklės išsaugotų slaptažodžių ir privataus SSH raktai. Ji taip pat renka klavišų paspaudimus ir iškarpinės duomenis.

„RDStealer“ gali nukreipti jūsų sistemą, nepaisant to, ar ji yra serverio ar kliento pusėje. Kai RDStealer užkrečia tinklą, jis sukuria kenkėjiškus failus aplankuose, pvz., „%WinDir%\System32“ ir „%PROGRAM-FILES%“, kurie paprastai neįtraukiami visos sistemos kenkėjiškų programų nuskaitymo metu.

Pasak, kenkėjiška programa plinta keliais vektoriais Bitdefender. Be CDM atakos vektoriaus, RDStealer infekcijos gali kilti dėl užkrėstų žiniatinklio skelbimų, kenkėjiškų el. laiškų priedų ir socialinės inžinerijos kampanijų. Už RDStealer atsakinga grupė atrodo ypač sudėtinga, todėl ateityje greičiausiai atsiras naujų atakų vektorių arba patobulintų RDStealer formų.

Jei tu naudoti nuotolinius darbalaukius per KPP, saugiausia manyti, kad RDStealer galėjo užkrėsti jūsų sistemą. Nors virusas per daug protingas, kad jį būtų galima lengvai atpažinti rankiniu būdu, galite apsisaugoti nuo RDStealer pagerindami saugumą protokolus savo serverio ir klientų sistemose ir be reikalo atlikdami visos sistemos antivirusinę nuskaitymą išimtys.

Jei naudojate „Dell“ sistemą, esate ypač pažeidžiami RDStealer infekcijos, nes atrodo, kad ji skirta konkrečiai „Dell“ gaminamiems kompiuteriams. Kenkėjiška programa buvo sąmoningai sukurta taip, kad pasislėptų tokiuose kataloguose kaip „Program Files\Dell\CommandUpdate“, ir naudoja komandų ir valdymo domenus, pvz., „dell-a[.]ntp-update[.]com“.

Apsaugokite savo nuotolinį darbalaukį nuo RDStealer

Svarbiausias dalykas, kurį galite padaryti, kad apsisaugotumėte nuo RDStealer, yra būti atsargiems internete. Nors nėra žinoma daug specifiškumo apie tai, kaip RDStealer plinta, išskyrus RDP ryšius, pakanka būti atsargiems, kad būtų išvengta daugumos infekcijos pernešėjų.

Naudokite kelių faktorių autentifikavimą

Galite pagerinti KPP ryšių saugumą įgyvendindami geriausią praktiką, pvz., kelių veiksnių autentifikavimą (MFA). Reikalaujant antrinio autentifikavimo metodo kiekvienam prisijungimui, galite atgraso nuo daugelio rūšių KPP įsilaužimų. Kitos geriausios praktikos, pvz., tinklo lygio autentifikavimo (NLA) diegimas ir VPN naudojimas, taip pat gali padaryti jūsų sistemas mažiau viliojančias ir lengvai pažeistas.

Šifruokite ir kurkite atsarginę duomenų kopiją

„RDStealer“ efektyviai vagia duomenis ir, be paprasto teksto, esančio iškarpinėse ir gauto iš klaviatūros registravimo, taip pat ieško failų, tokių kaip „KeePass“ slaptažodžių duomenų bazės. Nors duomenų vagystės neturi teigiamos pusės, galite būti tikri, kad su visais pavogtais duomenimis sunku dirbti. jei rūpestingai šifruojate failus.

Failų šifravimas yra gana paprastas dalykas, kurį reikia padaryti naudojant tinkamą vadovą. Tai taip pat labai veiksminga failų apsaugai, nes įsilaužėliams teks atlikti sudėtingą procesą, kad iššifruotų užšifruotus failus. Nors failus galima iššifruoti, įsilaužėliai labiau linkę pereiti prie lengvesnių taikinių, todėl jūs galite visiškai nenukentėti nuo pažeidimo. Be šifravimo, taip pat turėtumėte reguliariai kurti atsargines duomenų kopijas, kad vėliau neprarastumėte prieigos.

Teisingai sukonfigūruokite antivirusinę programą

Tinkamai sukonfigūruoti antivirusinę programą taip pat labai svarbu, jei norite apsaugoti savo sistemą. RDStealer naudojasi tuo, kad daugelis vartotojų išskirs visus katalogus, o ne konkrečius rekomenduojamus failus, sukurdami šiuose kataloguose kenkėjiškus failus. Jei norite, kad jūsų antivirusinė programa rastų ir pašalintų RDStealer, turite tai padaryti pakeiskite skaitytuvo išimtis įtraukti tik konkrečius rekomenduojamus failus.

Nuoroda, RDStealer sukuria kenkėjiškus failus kataloguose (ir atitinkamuose jų pakatalogiuose), kuriuose yra:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md saugyklos programinė įranga\md konfigūravimo priemonė\

Turėtumėte pakoreguoti virusų nuskaitymo išimtis pagal rekomenduotas gaires Microsoft. Išskirkite tik nurodytus konkrečius failų tipus ir katalogus ir neišskirkite pirminių katalogų. Patikrinkite, ar jūsų antivirusinė programa yra atnaujinta, ir atlikite visą sistemos nuskaitymą.

Sekite naujausias saugumo naujienas

Nors sunkus „Bitdefender“ komandos darbas leido vartotojams apsaugoti savo sistemas nuo „RDStealer“, nėra vienintelė kenkėjiška programa, dėl kurios turite nerimauti – ir visada yra tikimybė, kad ji išsivystys į naują ir netikėtą būdai. Vienas iš svarbiausių žingsnių, kurių galite imtis norėdami apsaugoti savo sistemą, yra sekti naujausias naujienas apie kylančias kibernetinio saugumo grėsmes.

Apsaugokite savo nuotolinį darbalaukį

Nors kiekvieną dieną atsiranda naujų grėsmių, jums nereikia susitaikyti, kad taptumėte kito viruso auka. Galite apsaugoti savo nuotolinį darbalaukį sužinoję daugiau apie galimus atakų vektorius ir patobulindami saugos protokolus savo sistemose ir sąveiką su žiniatinklio turiniu iš saugumo perspektyvą.