Вредоносное ПО RDStealer представляет собой практически всеобъемлющую угрозу, которая используется через протокол удаленного рабочего стола (RDP). Вот что вам нужно знать.

Процесс выявления новых и возникающих угроз кибербезопасности никогда не заканчивается, и в июне 2023 г. BitDefender Лаборатории обнаружили часть вредоносного ПО, которое нацелено на системы, использующие подключения к удаленному рабочему столу с тех пор. 2022.

Если вы используете протокол удаленного рабочего стола (RDP), очень важно определить, стали ли вы целью и были ли украдены ваши данные. К счастью, есть несколько методов, которые вы можете использовать для предотвращения заражения и удаления RDStealer с вашего ПК.

Что такое RDStealer? Был ли я целью?

RDStealer — это вредоносное ПО, которое пытается украсть учетные данные и данные для входа в систему, заражая RDP-сервер и отслеживая его удаленные подключения. Он развертывается вместе с Logutil, бэкдором, используемым для заражения удаленных рабочих столов и обеспечения постоянного доступа через установку RDStealer на стороне клиента.

instagram viewer

Если вредоносная программа обнаруживает, что удаленная машина подключена к серверу и что включено сопоставление клиентских дисков (CDM), она сканирует содержимое компьютера и ищет такие файлы, как базы паролей KeePass, пароли, сохраненные в браузере, и частные файлы SSH. ключи. Он также собирает нажатия клавиш и данные буфера обмена.

RDStealer может нацеливаться на вашу систему независимо от того, является ли она серверной или клиентской. Когда RDStealer заражает сеть, он создает вредоносные файлы в таких папках, как «%WinDir%\System32» и «%PROGRAM-FILES%», которые обычно исключаются при полном сканировании системы на наличие вредоносных программ.

Согласно данным, вредоносное ПО распространяется по нескольким направлениям. Битдефендер. Помимо вектора атаки CDM, заражение RDStealer может происходить из-за зараженной веб-рекламы, вредоносных вложений электронной почты и кампаний социальной инженерии. Группа, ответственная за RDStealer, кажется особенно сложной, поэтому в будущем, скорее всего, появятся новые векторы атак или улучшенные формы RDStealer.

Если вы использовать удаленные рабочие столы через RDP, лучше всего предположить, что RDStealer заразил вашу систему. Хотя вирус слишком умен, чтобы его можно было легко идентифицировать вручную, вы можете защититься от RDStealer, улучшив безопасность. протоколы на вашем сервере и клиентских системах, а также выполняя антивирусную проверку всей системы без ненужных исключения.

Вы особенно уязвимы для заражения RDStealer, если используете систему Dell, так как она специально предназначена для компьютеров, произведенных Dell. Вредоносная программа была намеренно разработана для маскировки в таких каталогах, как «Program Files\Dell\CommandUpdate», и использует домены управления и контроля, такие как «dell-a[.]ntp-update[.]com».

Защитите свой удаленный рабочий стол от RDStealer

Самое важное, что вы можете сделать, чтобы защитить себя от RDStealer, — это быть осторожным в Интернете. Хотя известно не так много подробностей о том, как RDStealer распространяется помимо RDP-соединений, достаточно осторожности, чтобы избежать большинства векторов заражения.

Используйте многофакторную аутентификацию

Вы можете повысить безопасность RDP-соединений, внедрив передовые методы, такие как многофакторная проверка подлинности (MFA). Требуя вторичный метод аутентификации для каждого входа в систему, вы можете сдерживание многих типов взломов RDP. Другие передовые методы, такие как реализация аутентификации на уровне сети (NLA) и использование VPN, также могут сделать ваши системы менее привлекательными и легкими для взлома.

Шифрование и резервное копирование ваших данных

RDStealer эффективно крадет данные — и помимо открытого текста, найденного в буфере обмена и полученного в результате кейлогинга, он также ищет такие файлы, как базы данных паролей KeePass. Хотя в краже данных нет положительной стороны, вы можете быть уверены, что с любыми украденными данными трудно работать. если вы усердно относитесь к шифрованию ваших файлов.

Шифрование файлов — это относительно простая вещь, которую можно сделать с помощью правильного руководства. Это также чрезвычайно эффективно для защиты файлов, поскольку хакерам придется выполнить сложный процесс для расшифровки зашифрованных файлов. Хотя расшифровать файлы можно, хакеры, скорее всего, перейдут к более легким целям, и в результате вы можете вообще не пострадать от взлома. Помимо шифрования, вы также должны регулярно создавать резервные копии своих данных, чтобы предотвратить потерю доступа в дальнейшем.

Настройте свой антивирус правильно

Правильная настройка антивируса также имеет решающее значение, если вы хотите защитить свою систему. RDStealer использует тот факт, что многие пользователи исключают целые каталоги вместо конкретных рекомендуемых файлов, создавая вредоносные файлы в этих каталогах. Если вы хотите, чтобы ваш антивирус находил и удалял RDStealer, вам необходимо изменить исключения сканера включать только определенные рекомендуемые файлы.

Для справки, RDStealer создает вредоносные файлы в каталогах (и их соответствующих подкаталогах), которые включают:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\безопасность\база данных
  • %PROGRAM_FILES%\f-secure\psb\диагностика
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md storage software\md Configuration Utility\

Вам следует настроить исключения из сканирования на наличие вирусов в соответствии с рекомендациями, рекомендованными Майкрософт. Исключайте только указанные типы файлов и каталоги и не исключайте родительские каталоги. Убедитесь, что ваш антивирус обновлен, и выполните полное сканирование системы.

Будьте в курсе последних новостей безопасности

Несмотря на то, что тяжелая работа команды Bitdefender позволила пользователям защитить свои системы от RDStealer, — это не единственное вредоносное ПО, о котором вам нужно беспокоиться, и всегда есть вероятность, что оно будет развиваться в новых и неожиданных направлениях. способы. Один из самых важных шагов, которые вы можете предпринять для защиты своей системы, — быть в курсе последних новостей о возникающих угрозах кибербезопасности.

Защитите свой удаленный рабочий стол

Хотя новые угрозы появляются каждый день, вам не нужно смиряться с тем, что вы станете жертвой следующего вируса. Вы можете защитить свой удаленный рабочий стол, узнав больше о потенциальных векторах атак, улучшив протоколы безопасности в ваших системах и взаимодействие с контентом в Интернете из ориентированного на безопасность перспектива.