Kā aizsargāt savu attālo darbvirsmu no RDStealer ļaunprātīgas programmatūras

Jaunu un jaunu kiberdrošības draudu noteikšanas process nekad nebeidzas — un 2023. gada jūnijā BitDefender Laboratorijas atklāja ļaunprātīgu programmatūru, kas kopš tā laika ir vērsta uz sistēmām, kurās tiek izmantoti attālās darbvirsmas savienojumi 2022.

Ja izmantojat attālās darbvirsmas protokolu (Remote Desktop Protocol — RDP), ir ļoti svarīgi noteikt, vai esat izvēlējies mērķauditoriju un vai jūsu dati ir nozagti. Par laimi, ir dažas metodes, kuras varat izmantot, lai novērstu infekciju un noņemtu RDStealer no datora.

Kas ir RDStealer? Vai es esmu bijis mērķtiecīgs?

RDStealer ir ļaunprātīga programmatūra, kas mēģina nozagt pieteikšanās akreditācijas datus un datus, inficējot RDP serveri un uzraugot tā attālos savienojumus. Tas tiek izvietots kopā ar Logutil — aizmugures durvīm, ko izmanto, lai inficētu attālās darbvirsmas un nodrošinātu pastāvīgu piekļuvi, izmantojot RDStealer klienta puses instalāciju.

Ja ļaunprātīgā programmatūra konstatē, ka attālā iekārta ir izveidojusi savienojumu ar serveri un ir iespējota klienta diska kartēšana (CDM), tā skenē, kas atrodas iekārtā, un meklē failus, piemēram, KeePass paroļu datu bāzes, pārlūkprogrammas saglabātās paroles un privāto SSH atslēgas. Tas arī apkopo taustiņsitienus un starpliktuves datus.

RDStealer var mērķēt uz jūsu sistēmu neatkarīgi no tā, vai tā ir servera vai klienta puses. Kad RDStealer inficē tīklu, tas izveido ļaunprātīgus failus tādās mapēs kā "%WinDir%\System32" un "%PROGRAM-FILES%", kuras parasti tiek izslēgtas visas sistēmas ļaunprātīgas programmatūras pārbaudēs.

Ļaunprātīga programmatūra izplatās ar vairākiem vektoriem, norāda Bitdefender. Papildus CDM uzbrukuma vektoram, RDStealer infekcijas var rasties no inficētām tīmekļa reklāmām, ļaunprātīgiem e-pasta pielikumiem un sociālās inženierijas kampaņām. Par RDStealer atbildīgā grupa šķiet īpaši sarežģīta, tāpēc, iespējams, nākotnē parādīsies jauni uzbrukuma vektori vai uzlabotas RDStealer formas.

Ja jūs izmantot attālās darbvirsmas, izmantojot RDP, visdrošākais ir pieņemt, ka RDStealer, iespējams, ir inficējis jūsu sistēmu. Lai gan vīruss ir pārāk gudrs, lai to viegli identificētu manuāli, jūs varat novērst RDStealer, uzlabojot drošību protokolus savā serverī un klientu sistēmās, kā arī veicot pilnas sistēmas pretvīrusu skenēšanu bez nevajadzīgas izņēmumi.

Jūs esat īpaši neaizsargāts pret infekciju no RDStealer, ja izmantojat Dell sistēmu, jo šķiet, ka tā ir īpaši paredzēta Dell ražotajiem datoriem. Ļaunprātīga programmatūra tika apzināti izstrādāta, lai slēptos tādos direktorijos kā "Program Files\Dell\CommandUpdate", un tā izmanto komandu un vadības domēnus, piemēram, "dell-a[.]ntp-update[.]com".

Nodrošiniet savu attālo darbvirsmu pret RDStealer

Vissvarīgākais, ko varat darīt, lai aizsargātu sevi pret RDStealer, ir jābūt piesardzīgam tīmeklī. Lai gan nav zināms daudz specifiku par to, kā RDStealer izplatās, izņemot RDP savienojumus, pietiek ar piesardzību, lai izvairītos no lielākās daļas infekcijas pārnēsātāju.

Izmantojiet vairāku faktoru autentifikāciju

Varat uzlabot LAP savienojumu drošību, ieviešot paraugpraksi, piemēram, daudzfaktoru autentifikāciju (MFA). Pieprasot sekundāro autentifikācijas metodi katram pieteikšanās brīdim, varat attur no daudzu veidu LAP uzlaušanas. Citas labākās prakses, piemēram, tīkla līmeņa autentifikācijas (NLA) ieviešana un VPN izmantošana, var arī padarīt jūsu sistēmas mazāk vilinošas un viegli pārkāpjamas.

Šifrējiet un dublējiet savus datus

RDStealer efektīvi nozog datus, un papildus vienkāršajam tekstam, kas atrodams starpliktuvēs un iegūts no taustiņreģistrācijas, tas meklē arī tādus failus kā KeePass paroļu datu bāzes. Lai gan datu nozagšanai nav pozitīvās puses, varat būt drošs, ka ar jebkuriem nozagtiem datiem ir grūti strādāt. ja rūpīgi šifrējat savus failus.

Failu šifrēšana ir salīdzinoši vienkārša lieta, ko var izdarīt, izmantojot pareizo ceļvedi. Tas ir arī ārkārtīgi efektīvs failu aizsardzībā, jo hakeriem būs jāveic sarežģīts process, lai atšifrētu šifrētus failus. Lai gan failus ir iespējams atšifrēt, hakeri, visticamāk, pāriet uz vieglākiem mērķiem, un tādējādi jūs, iespējams, nemaz necietīsit no pārkāpuma. Papildus šifrēšanai regulāri jādublē dati, lai vēlāk nezaudētu piekļuvi.

Pareizi konfigurējiet pretvīrusu

Pareiza pretvīrusu konfigurēšana ir ļoti svarīga arī tad, ja vēlaties aizsargāt savu sistēmu. RDStealer izmanto to, ka daudzi lietotāji izslēgs veselus direktorijus, nevis konkrētus ieteiktos failus, šajos direktorijos veidojot ļaunprātīgus failus. Ja vēlaties, lai jūsu antivīruss atrastu un noņemtu RDStealer, jums tas ir jādara mainiet skenera izņēmumus lai iekļautu tikai konkrētus ieteiktos failus.

Uzziņai RDStealer izveido ļaunprātīgus failus direktorijos (un to attiecīgajos apakšdirektorijos), kas ietver:

• %WinDir%\System32\
• %WinDir%\System32\wbem
• %WinDir%\security\database
• %PROGRAM_FILES%\f-secure\psb\diagnostics
• %PROGRAM_FILES_x86%\dell\commandupdate\
• %PROGRAM_FILES%\dell\md krātuves programmatūra\md konfigurācijas utilīta\

Jums ir jāpielāgo vīrusu skenēšanas izņēmumi saskaņā ar ieteiktajām vadlīnijām Microsoft. Izslēdziet tikai konkrētus norādītos failu tipus un direktorijus un neizslēdziet vecāku direktorijus. Pārbaudiet, vai jūsu antivīruss ir atjaunināts, un pabeidziet pilnu sistēmas skenēšanu.

Sekojiet līdzi jaunākajām drošības ziņām

Lai gan Bitdefender komandas smagais darbs ir ļāvis lietotājiem aizsargāt savas sistēmas no RDStealer, nav vienīgā ļaunprogrammatūra, par kuru jums jāuztraucas, un vienmēr pastāv iespēja, ka tā attīstīsies jaunā un negaidītā veidā veidus. Viens no svarīgākajiem pasākumiem, ko varat veikt, lai aizsargātu savu sistēmu, ir sekot līdzi jaunākajām ziņām par jauniem kiberdrošības apdraudējumiem.

Aizsargājiet savu attālo darbvirsmu

Lai gan katru dienu parādās jauni draudi, jums nav jāsamierinās ar iespēju kļūt par nākamā vīrusa upuri. Varat aizsargāt savu attālo darbvirsmu, uzzinot vairāk par iespējamiem uzbrukuma vektoriem, uzlabojot drošības protokolus savās sistēmās un mijiedarbību ar saturu tīmeklī no drošības viedokļa perspektīva.