Malware RDStealer gotovo je sveobuhvatna prijetnja koja se koristi putem protokola udaljene radne površine (RDP). Evo što trebate znati.
Proces identificiranja novih i novih prijetnji kibernetičkoj sigurnosti nikada ne završava—i u lipnju 2023. BitDefender Laboratoriji su otkrili dio zlonamjernog softvera koji od tada napada sustave koji koriste veze s udaljenom radnom površinom 2022.
Ako koristite Remote Desktop Protocol (RDP), od ključne je važnosti utvrditi jeste li bili meta i jesu li vaši podaci ukradeni. Srećom, postoji nekoliko metoda kojima možete spriječiti infekciju i ukloniti RDStealer s računala.
Što je RDStealer? Jesam li bio na meti?
RDStealer je zlonamjerni softver koji pokušava ukrasti vjerodajnice za prijavu i podatke tako što zarazi RDP poslužitelj i nadzire njegove udaljene veze. Postavlja se uz Logutil, backdoor koji se koristi za zarazu udaljenih desktopa i omogućavanje trajnog pristupa putem instalacije RDStealera na strani klijenta.
Ako zlonamjerni softver otkrije da se udaljeno računalo spojilo na poslužitelj i da je omogućeno Client Drive Mapping (CDM), skenira što je na stroju i traži datoteke kao što su baze podataka KeePass lozinki, lozinke spremljene u pregledniku i privatni SSH ključevi. Također prikuplja podatke o tipkama i međuspremniku.
RDStealer može ciljati vaš sustav bez obzira je li na strani poslužitelja ili klijenta. Kada RDStealer zarazi mrežu, stvara zlonamjerne datoteke u mapama kao što su "%WinDir%\System32" i "%PROGRAM-FILES%" koje se obično isključuju u skeniranju zlonamjernog softvera cijelog sustava.
Malware se širi kroz nekoliko vektora, prema Bitdefender. Osim CDM vektora napada, RDStealer infekcije mogu potjecati od zaraženih web oglasa, zlonamjernih privitaka e-pošte i kampanja društvenog inženjeringa. Grupa odgovorna za RDStealer čini se posebno sofisticiranom, tako da će se novi vektori napada—ili poboljšani oblici RDStealera—vjerojatno pojaviti u budućnosti.
Ako ti koristiti udaljene radne površine putem RDP-a, najsigurnije je pretpostaviti da je RDStealer možda zarazio vaš sustav. Dok je virus previše pametan da bi ga ručno identificirao s lakoćom, RDStealer možete odbiti poboljšanjem sigurnosti protokola na vašem poslužitelju i klijentskim sustavima te izvođenjem antivirusnog skeniranja cijelog sustava bez nepotrebne potrebe isključenja.
Posebno ste osjetljivi na infekciju od RDStealera ako koristite Dell sustav, jer se čini da cilja posebno na računala proizvedena od strane Dell-a. Zlonamjerni je softver namjerno dizajniran da se prikrije u direktorije poput "Program Files\Dell\CommandUpdate" i koristi domene za naredbe i kontrolu poput "dell-a[.]ntp-update[.]com".
Zaštitite svoju udaljenu radnu površinu od RDStealera
Najvažnija stvar koju možete učiniti da se zaštitite od RDStealera je da budete oprezni na webu. Iako nema mnogo poznatih podataka o tome kako se RDStealer širi osim preko RDP veza, dovoljan je oprez kako biste izbjegli većinu prijenosnika infekcije.
Koristite provjeru autentičnosti s više faktora
Možete poboljšati sigurnost RDP veza implementacijom najboljih praksi kao što je provjera autentičnosti s više faktora (MFA). Zahtijevanjem sekundarne metode provjere autentičnosti za svaku prijavu, možete spriječiti mnoge vrste RDP hakiranja. Druge najbolje prakse, poput implementacije provjere autentičnosti na razini mreže (NLA) i korištenja VPN-ova, također mogu učiniti vaše sustave manje primamljivima i lakima za probijanje.
Šifrirajte i sigurnosno kopirajte svoje podatke
RDStealer učinkovito krade podatke—i osim otvorenog teksta koji se nalazi u međuspremniku i stečen keyloggingom, također traži datoteke poput KeePass baze podataka lozinki. Iako krađa podataka nema pozitivne strane, možete biti sigurni da je teško raditi s ukradenim podacima ako marljivo šifrirate svoje datoteke.
Šifriranje datoteka je relativno jednostavna stvar uz pravi vodič. Također je iznimno učinkovit u zaštiti datoteka, budući da će hakeri morati poduzeti težak proces za dekriptiranje šifriranih datoteka. Iako je moguće dešifrirati datoteke, vjerojatnije je da će hakeri prijeći na lakše mete—i kao rezultat toga, možda uopće nećete patiti od povrede. Osim enkripcije, također biste trebali redovito sigurnosno kopirati svoje podatke kako biste spriječili kasniji gubitak pristupa.
Ispravno konfigurirajte svoj antivirusni program
Ispravno konfiguriranje antivirusnog programa također je ključno ako želite zaštititi svoj sustav. RDStealer iskorištava činjenicu da će mnogi korisnici isključiti cijele direktorije umjesto određenih preporučenih datoteka stvaranjem zlonamjernih datoteka unutar tih direktorija. Ako želite da vaš antivirusni program pronađe i ukloni RDStealer, morate to učiniti promijenite izuzeća skenera uključiti samo određene preporučene datoteke.
Za referencu, RDStealer stvara zlonamjerne datoteke u direktorijima (i njihovim odgovarajućim poddirektorijima) koji uključuju:
- %WinDir%\System32\
- %WinDir%\System32\wbem
- %WinDir%\sigurnost\baza podataka
- %PROGRAM_FILES%\f-secure\psb\diagnostics
- %PROGRAM_FILES_x86%\dell\commandupdate\
- %PROGRAM_FILES%\dell\md softver za pohranu\md konfiguracijski program\
Trebali biste prilagoditi izuzeća skeniranja virusa u skladu sa smjernicama koje preporučuje Microsoft. Isključite samo određene vrste datoteka i navedene direktorije i nemojte isključivati nadređene direktorije. Provjerite je li vaš antivirusni program ažuran i izvršite potpuno skeniranje sustava.
Budite u tijeku s najnovijim vijestima o sigurnosti
Iako je naporan rad tima u Bitdefenderu omogućio korisnicima da zaštite svoje sustave od RDStealera, nije jedini zlonamjerni softver o kojem se morate brinuti - i uvijek postoji šansa da će se razviti u nove i neočekivane načine. Jedan od najvažnijih koraka koje možete poduzeti kako biste zaštitili svoj sustav je biti u toku s najnovijim vijestima o novim prijetnjama kibernetičkoj sigurnosti.
Zaštitite svoju udaljenu radnu površinu
Dok se nove prijetnje pojavljuju svaki dan, ne morate se pomiriti s time da ćete postati žrtva sljedećeg virusa. Svoju udaljenu radnu površinu možete zaštititi tako što ćete saznati više o potencijalnim vektorima napada, poboljšati sigurnosnih protokola na vašim sustavima i interakcije sa sadržajem na webu s fokusa na sigurnost perspektiva.
