Az RDStealer rosszindulatú program egy szinte mindent lefedő fenyegetés, amelyet a Remote Desktop Protocol (RDP) használ. Íme, amit tudnod kell.

Az új és kialakulóban lévő kiberbiztonsági fenyegetések azonosításának folyamata soha nem ér véget – és 2023 júniusában a BitDefender A Labs felfedezett egy rosszindulatú programot, amely azóta is távoli asztali kapcsolatokat használó rendszereket céloz meg 2022.

Ha a Remote Desktop Protocol (RDP) protokollt használja, létfontosságú annak meghatározása, hogy Önt célozták-e meg, és hogy adatait ellopták-e. Szerencsére van néhány módszer a fertőzés megelőzésére és az RDStealer eltávolítására a számítógépről.

Mi az RDStealer? Célba kerültem?

Az RDStealer egy rosszindulatú program, amely megkísérli ellopni a bejelentkezési adatokat és az RDP-kiszolgálót megfertőzve és távoli kapcsolatait figyelve. A Logutil mellett működik, egy hátsó ajtó, amelyet távoli asztalok megfertőzésére használnak, és az RDStealer kliensoldali telepítésén keresztül állandó hozzáférést tesznek lehetővé.

instagram viewer

Ha a kártevő azt észleli, hogy egy távoli gép csatlakozott a szerverhez, és hogy a Client Drive Mapping (CDM) engedélyezve van, ellenőrzi, hogy mi van a gépen, és olyan fájlokat keres, mint a KeePass jelszóadatbázisok, a böngésző mentett jelszavak és a privát SSH kulcsok. Ezenkívül gyűjti a billentyűleütéseket és a vágólapra vonatkozó adatokat.

Az RDStealer meg tudja célozni a rendszert, függetlenül attól, hogy az szerver- vagy kliensoldali. Amikor az RDStealer megfertőz egy hálózatot, rosszindulatú fájlokat hoz létre az olyan mappákban, mint a "%WinDir%\System32" és a "%PROGRAM-FILES%", amelyeket általában kizárnak a teljes rendszerre kiterjedő rosszindulatú programok vizsgálata során.

A kártevő több vektoron keresztül terjed Bitdefender. A CDM támadási vektoron kívül az RDStealer fertőzések származhatnak fertőzött webes hirdetésekből, rosszindulatú e-mail mellékletekből és szociális tervezési kampányokból. Az RDStealerért felelős csoport különösen kifinomultnak tűnik, így valószínűleg új támadási vektorok – vagy az RDStealer továbbfejlesztett formái – jelennek meg a jövőben.

Ha te távoli asztalok használata RDP-n keresztül, a legbiztosabb, ha feltételezi, hogy az RDStealer megfertőzhette a rendszerét. Bár a vírus túl okos ahhoz, hogy könnyen azonosítsa manuálisan, a biztonság javításával kivédheti az RDStealert. protokollokat a kiszolgálón és a kliensrendszereken, és szükségtelenül elvégzi a teljes rendszer víruskeresőjét kizárások.

Ha Dell rendszert használ, különösen ki van téve az RDStealer fertőzésének, mivel úgy tűnik, hogy az kifejezetten a Dell által gyártott számítógépeket célozza meg. A rosszindulatú programot szándékosan úgy tervezték, hogy olyan könyvtárakba álcázza magát, mint a "Program Files\Dell\CommandUpdate", és olyan parancs- és vezérlőtartományokat használ, mint a "dell-a[.]ntp-update[.]com".

Biztosítsa távoli asztalát az RDStealer ellen

A legfontosabb dolog, amit megtehetsz, hogy megvédd magad az RDStealer ellen, hogy óvatosan bánj az interneten. Bár nem sok konkrétum ismert az RDStealer terjedéséről az RDP-kapcsolatokon kívül, az óvatosság elegendő a fertőzések legtöbb vektorának elkerüléséhez.

Használjon többtényezős hitelesítést

Javíthatja az RDP-kapcsolatok biztonságát a bevált gyakorlatok, például a többtényezős hitelesítés (MFA) megvalósításával. Ha minden bejelentkezéshez másodlagos hitelesítési módszert ír elő, ezt megteheti sokféle RDP-hack megakadályozása. Más bevált módszerek, például a hálózati szintű hitelesítés (NLA) megvalósítása és a VPN-ek használata szintén kevésbé vonzóvá és könnyen feltörhetővé tehetik a rendszereket.

Adatok titkosítása és biztonsági mentése

Az RDStealer hatékonyan lopja el az adatokat – és a vágólapokon található és a billentyűnaplózásból származó egyszerű szövegeken kívül olyan fájlokat is keres, mint a KeePass Password Databases. Bár az adatok ellopásának nincs pozitív oldala, biztos lehet benne, hogy bármilyen ellopott adattal nehéz dolgozni ha szorgalmasan titkosítja fájljait.

A fájlok titkosítása viszonylag egyszerű dolog a megfelelő útmutatóval. Rendkívül hatékony a fájlok védelmében is, mivel a hackereknek nehéz folyamatot kell végrehajtaniuk a titkosított fájlok visszafejtéséhez. Bár lehetséges a fájlok visszafejtése, a hackerek nagyobb valószínűséggel lépnek könnyebb célpontok felé – és ennek eredményeként előfordulhat, hogy Ön egyáltalán nem szenved a jogsértéstől. A titkosításon kívül rendszeresen biztonsági másolatot kell készítenie adatairól, hogy elkerülje a hozzáférés későbbi elvesztését.

Konfigurálja megfelelően a víruskeresőt

A víruskereső helyes konfigurálása szintén kulcsfontosságú, ha meg akarja védeni rendszerét. Az RDStealer kihasználja azt a tényt, hogy sok felhasználó teljes könyvtárakat zár ki a konkrét ajánlott fájlok helyett azáltal, hogy rosszindulatú fájlokat hoz létre ezekben a könyvtárakban. Ha azt szeretné, hogy a víruskereső megtalálja és eltávolítsa az RDStealer-t, akkor ezt meg kell tennie módosítsa a szkennerkizárásokat hogy csak meghatározott ajánlott fájlokat tartalmazzon.

Referenciaként az RDStealer rosszindulatú fájlokat hoz létre olyan könyvtárakban (és azok megfelelő alkönyvtáraiban), amelyek a következőket tartalmazzák:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md tárolószoftver\md konfigurációs segédprogram\

A víruskeresési kizárásokat az általa javasolt irányelveknek megfelelően állítsa be Microsoft. Csak a megadott fájltípusokat és könyvtárakat zárja ki, a szülőkönyvtárakat pedig ne. Ellenőrizze, hogy víruskeresője naprakész-e, és végezzen teljes rendszervizsgálatot.

Kövesse a legfrissebb biztonsági híreket

Míg a Bitdefender csapatának kemény munkája lehetővé tette a felhasználók számára, hogy megvédjék rendszereiket az RDStealertől, nem az egyetlen rosszindulatú program, ami miatt aggódnia kell – és mindig megvan az esélye, hogy új és váratlan formában fejlődik módokon. Az egyik legfontosabb lépés, amelyet megtehet a rendszer védelme érdekében, hogy lépést tartson a kiberbiztonsági fenyegetések legfrissebb híreivel.

Óvja távoli asztalát

Bár minden nap új fenyegetések jelennek meg, nem kell beletörődnie abba, hogy a következő vírus áldozatává váljon. Megvédheti távoli asztalát, ha többet tud meg a lehetséges támadási vektorokról, és javítja a biztonsági protokollokat a rendszerein, és interakciót folytat a weben található tartalommal a biztonságra összpontosítva perspektíva.