RDStealeri pahavara on peaaegu kõikehõlmav oht, mida võimendab Remote Desktop Protocol (RDP). Siin on, mida peate teadma.

Uute ja esilekerkivate küberjulgeolekuohtude tuvastamise protsess ei lõpe kunagi – ja juunis 2023 avas BitDefender Laborid avastasid pahavara, mis on sellest ajast peale sihitud süsteeme, mis kasutavad kaugtöölauaühendusi 2022.

Kui kasutate kaugtöölaua protokolli (RDP), on ülioluline kindlaks teha, kas teid on sihitud ja kas teie andmed on varastatud. Õnneks on mõned meetodid, mida saate kasutada nakkuste vältimiseks ja RDStealeri arvutist eemaldamiseks.

Mis on RDStealer? Kas mind on sihitud?

RDStealer on pahavara, mis üritab RDP-serverit nakatades ja selle kaugühendusi jälgides varastada sisselogimismandaate ja andmeid. See juurutatakse koos Logutiliga, tagauksega, mida kasutatakse kaugtöölaudade nakatamiseks ja püsiva juurdepääsu võimaldamiseks RDStealeri kliendipoolse installi kaudu.

Kui pahavara tuvastab, et kaugmasin on serveriga ühenduse loonud ja Client Drive Mapping (CDM) on lubatud, skannib, mis on masinas ja otsib selliseid faile nagu KeePassi paroolide andmebaasid, brauseri salvestatud paroolid ja privaatne SSH võtmed. Samuti kogub see klahvivajutuste ja lõikelaua andmeid.

instagram viewer

RDStealer saab teie süsteemi sihtida olenemata sellest, kas see on serveri- või kliendipoolne. Kui RDStealer nakatab võrku, loob see pahatahtlikud failid sellistesse kaustadesse nagu "%WinDir%\System32" ja "%PROGRAM-FILES%", mis on tavaliselt kogu süsteemi pahavara kontrollimisel välistatud.

Väidetavalt levib pahavara mitme vektori kaudu Bitdefender. Lisaks CDM-i rünnakuvektorile võivad RDStealeri nakkused pärineda nakatunud veebireklaamidest, pahatahtlikest meilimanustest ja sotsiaalse manipuleerimise kampaaniatest. RDStealeri eest vastutav rühm näib olevat eriti kogenud, nii et tõenäoliselt tekivad tulevikus uued ründevektorid või RDStealeri täiustatud vormid.

Kui sa kasutage RDP kaudu kaugtöölaudu, on kõige kindlam oletada, et RDStealer võis teie süsteemi nakatada. Kuigi viirus on liiga nutikas, et seda hõlpsalt käsitsi tuvastada, saate RDStealeri ära hoida, parandades turvalisust protokolle teie serveris ja kliendisüsteemides ning teostades kogu süsteemi viirusetõrje kontrolli ilma tarbetuteta erandid.

Kui kasutate Delli süsteemi, olete RDStealeri nakatumise suhtes eriti haavatav, kuna näib, et see sihib spetsiaalselt Delli toodetud arvuteid. Pahavara loodi tahtlikult maskeerimiseks kataloogidesse, nagu "Program Files\Dell\CommandUpdate" ja kasutab käsu- ja juhtimisdomeene, nagu "dell-a[.]ntp-update[.]com".

Kaitske oma kaugtöölauda RDStealeri vastu

Kõige olulisem asi, mida saate teha, et end RDStealeri eest kaitsta, on olla veebis ettevaatlik. Kuigi RDStealeri leviku kohta pole RDP-ühenduste kõrval palju üksikasju teada, piisab enamiku nakkusvektorite vältimiseks ettevaatusest.

Kasutage mitmefaktorilist autentimist

RDP-ühenduste turvalisust saate parandada, rakendades parimaid tavasid, nagu mitmefaktoriline autentimine (MFA). Nõudes iga sisselogimise jaoks sekundaarset autentimismeetodit, saate seda teha hoiavad ära mitut tüüpi RDP häkkimise. Teised parimad tavad, nagu võrgutaseme autentimise (NLA) rakendamine ja VPN-ide kasutamine, võivad samuti muuta teie süsteemid vähem ahvatlevaks ja neid on lihtne rikkuda.

Andmete krüptimine ja varundamine

RDStealer varastab andmeid tõhusalt ja lisaks lõikepuhvril leiduvale ja klahvilogimisest saadud lihttekstile otsib see ka selliseid faile nagu KeePassi parooliandmebaasid. Kuigi andmete varastamisel pole positiivseid külgi, võite olla kindel, et varastatud andmetega on raske töötada kui olete oma failide krüpteerimisega hoolas.

Failide krüptimine on õige juhendiga suhteliselt lihtne asi. See on ka failide kaitsmisel äärmiselt tõhus, kuna häkkerid peavad krüptitud failide dekrüpteerimiseks läbima keerulise protsessi. Kuigi faile on võimalik dekrüpteerida, liiguvad häkkerid tõenäolisemalt lihtsamate sihtmärkide poole ja selle tulemusel ei pruugi te rikkumist üldse kannatada. Lisaks krüptimisele peaksite oma andmeid regulaarselt varundama, et vältida juurdepääsu hilisemat kaotamist.

Seadistage oma viirusetõrje õigesti

Viirusetõrje õige konfigureerimine on samuti oluline, kui soovite oma süsteemi kaitsta. RDStealer kasutab ära asjaolu, et paljud kasutajad välistavad konkreetsete soovitatud failide asemel terved kataloogid, luues nendes kataloogides pahatahtlikke faile. Kui soovite, et teie viirusetõrje leiaks ja eemaldaks RDStealeri, peate seda tegema muuta skanneri välistusi et kaasata ainult konkreetsed soovitatud failid.

RDStealer loob kataloogides (ja nende vastavates alamkataloogides) pahatahtlikke faile, mis sisaldavad järgmist:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md salvestustarkvara\md konfiguratsiooniutiliit\

Peaksite kohandama oma viirusekontrolli välistusi vastavalt juhistele, mida soovitab Microsoft. Välistage ainult konkreetsed failitüübid ja kataloogid ning ärge välistage ülemkatalooge. Veenduge, et teie viirusetõrje on ajakohane, ja viige läbi täielik süsteemi kontroll.

Olge kursis viimaste turvauudistega

Kuigi Bitdefenderi meeskonna raske töö on võimaldanud kasutajatel oma süsteeme RDStealeri eest kaitsta, ei ole ainus pahavara, mille pärast peate muretsema – ja alati on võimalus, et see areneb uueks ja ootamatuks viise. Üks olulisemaid samme, mida saate oma süsteemi kaitsmiseks teha, on olla kursis viimaste uudistega tekkivate küberjulgeolekuohtude kohta.

Kaitske oma kaugtöölauda

Kuigi iga päev ilmnevad uued ohud, ei pea te leppima järgmise viiruse ohvriks langemisega. Saate kaitsta oma kaugtöölauda, ​​uurides lisateavet võimalike ründevektorite kohta, täiustades turvaprotokolle oma süsteemides ja turvalisusele keskendunud veebisisuga suhtlemist perspektiivi.