Złośliwe oprogramowanie RDStealer to niemal wszechogarniające zagrożenie, które wykorzystuje protokół Remote Desktop Protocol (RDP). Oto, co musisz wiedzieć.
Proces identyfikowania nowych i pojawiających się zagrożeń cyberbezpieczeństwa nigdy się nie kończy — a w czerwcu 2023 r. BitDefender Laboratoria wykryły złośliwe oprogramowanie, które od tamtej pory atakuje systemy korzystające z połączeń zdalnego pulpitu 2022.
Jeśli korzystasz z protokołu RDP (Remote Desktop Protocol), ustalenie, czy jesteś celem i czy Twoje dane zostały skradzione, ma kluczowe znaczenie. Na szczęście istnieje kilka metod, których możesz użyć, aby zapobiec infekcji i usunąć RDStealer z komputera.
Co to jest RDStealer? Czy byłem celem?
RDStealer to złośliwe oprogramowanie, które próbuje ukraść dane logowania i dane poprzez infekowanie serwera RDP i monitorowanie jego zdalnych połączeń. Wdraża się wraz z Logutil, backdoorem używanym do infekowania zdalnych pulpitów i umożliwiania stałego dostępu poprzez instalację RDStealera po stronie klienta.
Jeśli złośliwe oprogramowanie wykryje, że zdalna maszyna połączyła się z serwerem i włączone jest mapowanie dysków klienta (CDM), skanuje zawartość komputera i wyszukuje pliki, takie jak bazy danych haseł KeePass, hasła zapisane w przeglądarce i prywatne SSH Klucze. Gromadzi również naciśnięcia klawiszy i dane ze schowka.
RDStealer może atakować twój system niezależnie od tego, czy jest po stronie serwera, czy klienta. Gdy RDStealer infekuje sieć, tworzy złośliwe pliki w folderach, takich jak „%WinDir%\System32” i „%PROGRAM-FILES%”, które zwykle są wykluczane podczas skanowania całego systemu w poszukiwaniu złośliwego oprogramowania.
Złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem kilku wektorów Bitdefender. Oprócz wektora ataku CDM, infekcje RDStealer mogą pochodzić z zainfekowanych reklam internetowych, złośliwych załączników do wiadomości e-mail i kampanii socjotechnicznych. Grupa odpowiedzialna za RDStealer wydaje się szczególnie wyrafinowana, więc w przyszłości prawdopodobnie pojawią się nowe wektory ataków — lub ulepszone formy RDStealer.
Jeśli ty korzystać ze zdalnych pulpitów przez RDP, najbezpieczniej jest założyć, że RDStealer mógł zainfekować twój system. Chociaż wirus jest zbyt inteligentny, aby można go było łatwo zidentyfikować ręcznie, możesz odeprzeć RDStealera, poprawiając zabezpieczenia protokołów na serwerach i systemach klienckich oraz przeprowadzając bez zbędnego skanowania antywirusowego całego systemu wykluczenia.
Jesteś szczególnie narażony na infekcję przez RDStealer, jeśli korzystasz z systemu Dell, ponieważ wydaje się, że atakuje on komputery wyprodukowane przez firmę Dell. Szkodliwe oprogramowanie zostało celowo zaprojektowane do ukrywania się w katalogach, takich jak „Program Files\Dell\CommandUpdate” i wykorzystuje domeny poleceń i kontroli, takie jak „dell-a[.]ntp-update[.]com”.
Zabezpiecz swój pulpit zdalny przed RDStealer
Najważniejszą rzeczą, jaką możesz zrobić, aby chronić się przed RDStealerem, jest ostrożność w sieci. Chociaż niewiele jest znanych szczegółów na temat rozprzestrzeniania się RDStealera poza połączeniami RDP, wystarczy zachować ostrożność, aby uniknąć większości wektorów infekcji.
Użyj uwierzytelniania wieloskładnikowego
Możesz poprawić bezpieczeństwo połączeń RDP, wdrażając najlepsze praktyki, takie jak uwierzytelnianie wieloskładnikowe (MFA). Wymagając dodatkowej metody uwierzytelniania dla każdego logowania, możesz powstrzymać wiele rodzajów włamań RDP. Inne najlepsze praktyki, takie jak wdrażanie uwierzytelniania na poziomie sieci (NLA) i korzystanie z VPN, również mogą sprawić, że Twoje systemy będą mniej atrakcyjne i łatwe do złamania.
Szyfruj i twórz kopie zapasowe swoich danych
RDStealer skutecznie kradnie dane — poza zwykłym tekstem znajdującym się w schowkach i pozyskiwanym z keyloggera, szuka także plików takich jak KeePass Password Databases. Chociaż kradzież danych nie ma pozytywnych stron, możesz mieć pewność, że z jakimikolwiek skradzionymi danymi trudno jest pracować jeśli jesteś sumienny w szyfrowaniu plików.
Szyfrowanie plików to stosunkowo prosta rzecz z odpowiednim przewodnikiem. Jest również niezwykle skuteczny w zabezpieczaniu plików, ponieważ hakerzy będą musieli przeprowadzić trudny proces odszyfrowania zaszyfrowanych plików. Chociaż możliwe jest odszyfrowanie plików, hakerzy są bardziej skłonni do przejścia do łatwiejszych celów — w rezultacie możesz w ogóle nie ucierpieć z powodu naruszenia. Oprócz szyfrowania należy również regularnie tworzyć kopie zapasowe danych, aby zapobiec późniejszej utracie dostępu.
Skonfiguruj poprawnie swój program antywirusowy
Prawidłowe skonfigurowanie programu antywirusowego jest również kluczowe, jeśli chcesz chronić swój system. RDStealer wykorzystuje fakt, że wielu użytkowników wyklucza całe katalogi zamiast określonych zalecanych plików, tworząc złośliwe pliki w tych katalogach. Jeśli chcesz, aby Twój program antywirusowy znalazł i usunął RDStealer, musisz to zrobić zmień wykluczenia skanera aby uwzględnić tylko określone zalecane pliki.
Dla porównania, RDStealer tworzy złośliwe pliki w katalogach (i ich odpowiednich podkatalogach), które obejmują:
- %WinDir%\System32\
- %WinDir%\System32\wbem
- %WinDir%\bezpieczeństwo\baza danych
- %PROGRAM_FILES%\f-secure\psb\diagnostics
- %PROGRAM_FILES_x86%\dell\commandupdate\
- %PROGRAM_FILES%\dell\md oprogramowanie pamięci masowej\md narzędzie do konfiguracji\
Należy dostosować wykluczenia skanowania antywirusowego zgodnie z wytycznymi zalecanymi przez Microsoftu. Wyklucz tylko określone typy plików i katalogi i nie wykluczaj katalogów nadrzędnych. Sprawdź, czy Twój program antywirusowy jest aktualny i wykonaj pełne skanowanie systemu.
Bądź na bieżąco z najnowszymi wiadomościami dotyczącymi bezpieczeństwa
Podczas gdy ciężka praca zespołu Bitdefender umożliwiła użytkownikom ochronę ich systemów przed RDStealer, to nie jest jedynym złośliwym oprogramowaniem, o które musisz się martwić — i zawsze istnieje szansa, że rozwinie się w nowe i nieoczekiwane sposoby. Jednym z najważniejszych kroków, które możesz podjąć, aby chronić swój system, jest śledzenie najnowszych wiadomości o pojawiających się zagrożeniach cyberbezpieczeństwa.
Chroń swój pulpit zdalny
Chociaż każdego dnia pojawiają się nowe zagrożenia, nie musisz rezygnować z tego, że padniesz ofiarą kolejnego wirusa. Możesz zabezpieczyć swój zdalny pulpit, dowiadując się więcej o potencjalnych wektorach ataków, ulepszając protokoły bezpieczeństwa w systemach i interakcje z treściami w sieci z punktu widzenia bezpieczeństwa perspektywiczny.
