Malware RDStealer je téměř všeobjímající hrozba využívaná prostřednictvím protokolu RDP (Remote Desktop Protocol). Zde je to, co potřebujete vědět.

Proces identifikace nových a vznikajících kybernetických hrozeb nikdy nekončí – a v červnu 2023 BitDefender Laboratoře objevily malware, který se od té doby zaměřuje na systémy využívající připojení ke vzdálené ploše 2022.

Pokud používáte protokol RDP (Remote Desktop Protocol), je zásadní určit, zda jste byli cílem a zda vaše data nebyla odcizena. Naštěstí existuje několik metod, jak zabránit infekci a odstranit RDStealer z počítače.

Co je RDStealer? Byl jsem cílen?

RDStealer je malware, který se pokouší ukrást přihlašovací údaje a data infikováním serveru RDP a sledováním jeho vzdálených připojení. Nasazuje se spolu s Logutilem, backdoorem používaným k infikování vzdálených ploch a umožňuje trvalý přístup prostřednictvím instalace RDStealer na straně klienta.

Pokud malware zjistí, že se vzdálený počítač připojil k serveru a že je povoleno mapování klientských jednotek (CDM), skenuje, co je na počítači, a hledá soubory, jako jsou databáze hesel KeePass, hesla uložená v prohlížeči a soukromé SSH klíče. Shromažďuje také stisknuté klávesy a data ze schránky.

instagram viewer

RDStealer může cílit na váš systém bez ohledu na to, zda je na straně serveru nebo na straně klienta. Když RDStealer infikuje síť, vytvoří škodlivé soubory ve složkách, jako jsou „%WinDir%\System32“ a „%PROGRAM-FILES%“, které jsou obvykle vyloučeny z celosystémových kontrol malwaru.

Malware se podle něj šíří několika vektory Bitdefender. Kromě vektoru útoku CDM mohou infekce RDStealer pocházet z infikovaných webových reklam, škodlivých e-mailových příloh a kampaní sociálního inženýrství. Skupina odpovědná za RDStealer se zdá být obzvláště sofistikovaná, takže se v budoucnu pravděpodobně objeví nové útočné vektory – nebo vylepšené formy RDStealer.

jestli ty používat vzdálené plochy přes RDP, nejbezpečnější je předpokládat, že RDStealer mohl infikovat váš systém. Přestože je virus příliš chytrý na to, aby jej bylo možné snadno ručně identifikovat, můžete RDStealer odrazit zlepšením zabezpečení protokoly na vašem serveru a klientských systémech a provedením úplné antivirové kontroly systému bez zbytečných výluky.

Pokud používáte systém Dell, jste obzvláště zranitelní vůči infekci z RDStealer, protože se zdá, že se konkrétně zaměřuje na počítače vyrobené společností Dell. Malware byl záměrně navržen tak, aby se maskoval v adresářích jako „Program Files\Dell\CommandUpdate“ a používal domény příkazů a řízení jako „dell-a[.]ntp-update[.]com“.

Zabezpečte svou vzdálenou plochu proti RDStealer

Nejdůležitější věcí, kterou můžete pro svou ochranu před RDStealerem udělat, je být na webu obezřetný. I když není známo mnoho podrobností o tom, jak se RDStealer šíří kromě připojení RDP, je dostatečná opatrnost, abyste se vyhnuli většině vektorů infekce.

Použijte vícefaktorovou autentizaci

Zabezpečení připojení RDP můžete zlepšit implementací osvědčených postupů, jako je vícefaktorové ověřování (MFA). Vyžadováním sekundární metody ověřování pro každé přihlášení můžete odrazují od mnoha typů RDP hacků. Další osvědčené postupy, jako je implementace ověřování na úrovni sítě (NLA) a používání sítí VPN, mohou také učinit vaše systémy méně lákavými a snadno prolomitelné.

Šifrujte a zálohujte svá data

RDStealer efektivně krade data – a kromě prostého textu nalezeného ve schránkách a získaného z keyloggingu hledá také soubory jako KeePass Password Databases. I když krádež dat nemá žádnou pozitivní stránku, můžete si být jisti, že s ukradenými daty je těžké pracovat pokud jste pilní při šifrování souborů.

Šifrování souborů je se správným průvodcem poměrně jednoduchá věc. Je také extrémně efektivní při ochraně souborů, protože hackeři budou muset provést obtížný proces dešifrování zašifrovaných souborů. I když je možné soubory dešifrovat, hackeři se s větší pravděpodobností přesunou na snazší cíle – a v důsledku toho nemusíte narušení vůbec trpět. Kromě šifrování byste také měli svá data pravidelně zálohovat, abyste později neztratili přístup.

Nakonfigurujte svůj antivirus správně

Správná konfigurace antiviru je také zásadní, pokud chcete chránit svůj systém. RDStealer využívá skutečnosti, že mnoho uživatelů vyloučí celé adresáře namísto konkrétních doporučených souborů vytvářením škodlivých souborů v těchto adresářích. Pokud chcete, aby váš antivirus našel a odstranil RDStealer, musíte to udělat změnit vyloučení skeneru zahrnout pouze konkrétní doporučené soubory.

Pro informaci, RDStealer vytváří škodlivé soubory v adresářích (a jejich příslušných podadresářích), které zahrnují:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md storage software\md konfigurační nástroj\

Výjimky antivirové kontroly byste měli upravit v souladu s pokyny doporučenými společností Microsoft. Vylučte pouze uvedené konkrétní typy souborů a adresáře a nevylučujte nadřazené adresáře. Ověřte, zda je váš antivirus aktuální a dokončete úplnou kontrolu systému.

Držte krok s nejnovějšími zprávami o bezpečnosti

I když tvrdá práce týmu v Bitdefenderu umožnila uživatelům chránit jejich systémy před RDStealerem není jediný malware, kterého se musíte obávat – a vždy existuje šance, že se vyvine v nové a neočekávané způsoby. Jedním z nejdůležitějších kroků, které můžete podniknout k ochraně svého systému, je držet krok s nejnovějšími zprávami o nových hrozbách kybernetické bezpečnosti.

Chraňte svou vzdálenou plochu

I když se každý den objevují nové hrozby, nemusíte se smířit s tím, že se stanete obětí dalšího viru. Vzdálenou plochu můžete zabezpečit tím, že se dozvíte více o potenciálních vektorech útoku a vylepšíte bezpečnostní protokoly na vašich systémech a interakci s obsahem na webu z prostředí zaměřeného na bezpečnost perspektivní.