Зловреден софтуер RDStealer е почти всеобхватна заплаха, използвана чрез протокола за отдалечен работен плот (RDP). Ето какво трябва да знаете.

Процесът на идентифициране на нови и възникващи заплахи за киберсигурността никога не свършва – и през юни 2023 г. BitDefender Labs откриха част от зловреден софтуер, който оттогава е насочен към системи, използващи връзки с отдалечен работен плот 2022.

Ако използвате протокол за отдалечен работен плот (RDP), определянето дали сте били набелязани и дали данните ви са били откраднати, е жизненоважно. За щастие има няколко метода, които можете да използвате, за да предотвратите инфекция и да премахнете RDStealer от вашия компютър.

Какво е RDStealer? Бил ли съм набелязан?

RDStealer е злонамерен софтуер, който се опитва да открадне идентификационни данни за вход и данни чрез заразяване на RDP сървър и наблюдение на неговите отдалечени връзки. Той се внедрява заедно с Logutil, задна вратичка, използвана за заразяване на отдалечени настолни компютри и активиране на постоянен достъп чрез инсталация на RDStealer от страна на клиента.

instagram viewer

Ако зловредният софтуер открие, че отдалечена машина се е свързала със сървъра и че Client Drive Mapping (CDM) е активирано, той сканира какво има на машината и търси файлове като бази данни с пароли на KeePass, запазени пароли в браузъра и SSH частни ключове. Той също така събира натиснати клавиши и данни от клипборда.

RDStealer може да се насочи към вашата система, независимо дали е сървърна или клиентска. Когато RDStealer зарази мрежа, той създава злонамерени файлове в папки като "%WinDir%\System32" и "%PROGRAM-FILES%", които обикновено се изключват при сканиране за зловреден софтуер на цялата система.

Зловреден софтуер се разпространява чрез няколко вектора, според Bitdefender. Освен от вектора на CDM атака, инфекциите с RDStealer могат да произхождат от заразени уеб реклами, злонамерени прикачени файлове към имейли и кампании за социално инженерство. Групата, отговорна за RDStealer, изглежда особено сложна, така че е вероятно в бъдеще да се появят нови вектори на атака или подобрени форми на RDStealer.

Ако ти използвайте отдалечени настолни компютри чрез RDP, най-безопасният ви залог е да приемете, че RDStealer може да е заразил системата ви. Докато вирусът е твърде умен, за да се идентифицира ръчно с лекота, можете да предотвратите RDStealer, като подобрите сигурността протоколи на вашия сървър и клиентски системи и чрез извършване на антивирусно сканиране на цялата система без излишно изключения.

Вие сте особено уязвими към заразяване от RDStealer, ако използвате система на Dell, тъй като изглежда, че е насочена конкретно към компютри, произведени от Dell. Зловреден софтуер е умишлено проектиран да се прикрива в директории като „Program Files\Dell\CommandUpdate“ и използва домейни за управление и контрол като „dell-a[.]ntp-update[.]com“.

Защитете своя отдалечен работен плот срещу RDStealer

Най-важното нещо, което можете да направите, за да се предпазите от RDStealer, е да бъдете предпазливи в мрежата. Въпреки че не са известни много подробности за това как RDStealer се разпространява извън RDP връзките, предпазливостта е достатъчна, за да се избегнат повечето вектори на инфекция.

Използвайте многофакторно удостоверяване

Можете да подобрите сигурността на RDP връзките чрез внедряване на най-добри практики като многофакторно удостоверяване (MFA). Като изисквате вторичен метод за удостоверяване за всяко влизане, можете възпре много видове RDP хакове. Други най-добри практики, като прилагане на удостоверяване на мрежово ниво (NLA) и използване на VPN, също могат да направят вашите системи по-малко привлекателни и лесни за пробиване.

Шифроване и архивиране на вашите данни

RDStealer ефективно краде данни – и освен обикновения текст, открит в клипбордове и придобит от keylogging, той също търси файлове като KeePass Password Databases. Въпреки че няма положителна страна на откраднатите данни, можете да сте сигурни, че с откраднатите данни е трудно да се работи ако сте усърдни в шифроването на вашите файлове.

Шифроването на файлове е сравнително лесно нещо с правилното ръководство. Освен това е изключително ефективен за защита на файлове, тъй като хакерите ще трябва да предприемат труден процес за декриптиране на криптирани файлове. Въпреки че е възможно да се декриптират файлове, хакерите са по-склонни да преминат към по-лесни цели - и в резултат на това може изобщо да не пострадате от пробива. Освен криптирането, трябва редовно да архивирате данните си, за да предотвратите загуба на достъп по-късно.

Конфигурирайте правилно вашата антивирусна програма

Правилното конфигуриране на вашата антивирусна програма също е от решаващо значение, ако искате да защитите системата си. RDStealer се възползва от факта, че много потребители ще изключат цели директории вместо конкретни препоръчани файлове, като създават злонамерени файлове в тези директории. Ако искате вашата антивирусна програма да намери и премахне RDStealer, трябва да го направите променете изключенията на скенера да включва само специфични препоръчани файлове.

За справка RDStealer създава злонамерени файлове в директории (и съответните им поддиректории), които включват:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md софтуер за съхранение\md конфигурационна програма\

Трябва да коригирате вашите изключения от сканиране за вируси в съответствие с указанията, препоръчани от Microsoft. Изключете само посочените конкретни типове файлове и директории и не изключвайте родителските директории. Проверете дали вашата антивирусна програма е актуална и завършете пълно сканиране на системата.

Бъдете в крак с най-новите новини за сигурността

Докато упоритата работа на екипа на Bitdefender е позволила на потребителите да защитят системите си от RDStealer, не е единственият злонамерен софтуер, за който трябва да се тревожите – и винаги има шанс той да се развие в нов и неочакван начини. Една от най-важните стъпки, които можете да предприемете, за да защитите системата си, е да сте в крак с последните новини за възникващи заплахи за киберсигурността.

Защитете своя отдалечен работен плот

Докато нови заплахи се появяват всеки ден, не е нужно да се примирявате да станете жертва на следващия вирус. Можете да защитите своя отдалечен работен плот, като научите повече за потенциалните вектори на атака, като подобрите протоколи за сигурност на вашите системи и взаимодействие със съдържание в мрежата от фокусиран върху сигурността перспектива.