Το κακόβουλο λογισμικό RDStealer είναι μια σχεδόν ολοκληρωμένη απειλή που αξιοποιείται μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP). Εδώ είναι τι πρέπει να ξέρετε.

Η διαδικασία εντοπισμού νέων και αναδυόμενων απειλών για την ασφάλεια στον κυβερνοχώρο δεν τελειώνει ποτέ — και τον Ιούνιο του 2023, το BitDefender Τα εργαστήρια ανακάλυψαν ένα κομμάτι κακόβουλου λογισμικού που στοχεύει συστήματα που χρησιμοποιούν συνδέσεις απομακρυσμένης επιφάνειας εργασίας από τότε 2022.

Εάν χρησιμοποιείτε το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP), είναι ζωτικής σημασίας να προσδιορίσετε εάν έχετε στοχοποιηθεί και εάν τα δεδομένα σας έχουν κλαπεί. Ευτυχώς, υπάρχουν μερικές μέθοδοι που μπορείτε να χρησιμοποιήσετε για να αποτρέψετε τη μόλυνση και να αφαιρέσετε το RDStealer από τον υπολογιστή σας.

Τι είναι το RDStealer; Έχω στοχοποιηθεί;

Το RDStealer είναι κακόβουλο λογισμικό που επιχειρεί να κλέψει τα διαπιστευτήρια σύνδεσης και τα δεδομένα μολύνοντας έναν διακομιστή RDP και παρακολουθώντας τις απομακρυσμένες συνδέσεις του. Αναπτύσσεται παράλληλα με το Logutil, μια κερκόπορτα που χρησιμοποιείται για να μολύνει απομακρυσμένους επιτραπέζιους υπολογιστές και να επιτρέπει τη μόνιμη πρόσβαση μέσω μιας εγκατάστασης του RDStealer από την πλευρά του πελάτη.

instagram viewer

Εάν το κακόβουλο λογισμικό εντοπίσει ότι ένα απομακρυσμένο μηχάνημα έχει συνδεθεί στον διακομιστή και ότι είναι ενεργοποιημένη η αντιστοίχιση μονάδας πελάτη (CDM), σαρώνει τι υπάρχει στο μηχάνημα και αναζητά αρχεία όπως βάσεις δεδομένων κωδικών πρόσβασης KeePass, αποθηκευμένους κωδικούς πρόσβασης στο πρόγραμμα περιήγησης και ιδιωτικό SSH κλειδιά. Συλλέγει επίσης πληκτρολογήσεις και δεδομένα από το πρόχειρο.

Το RDStealer μπορεί να στοχεύσει το σύστημά σας ανεξάρτητα από το αν είναι διακομιστή ή πελάτη. Όταν το RDStealer μολύνει ένα δίκτυο, δημιουργεί κακόβουλα αρχεία σε φακέλους όπως "%WinDir%\System32" και "%PROGRAM-FILES%" που συνήθως εξαιρούνται σε σαρώσεις κακόβουλου λογισμικού πλήρους συστήματος.

Το κακόβουλο λογισμικό εξαπλώνεται μέσω πολλών φορέων, σύμφωνα με Bitdefender. Εκτός από τον φορέα επίθεσης CDM, οι μολύνσεις RDStealer μπορεί να προέρχονται από μολυσμένες διαφημίσεις ιστού, κακόβουλα συνημμένα email και καμπάνιες κοινωνικής μηχανικής. Η ομάδα που είναι υπεύθυνη για το RDStealer φαίνεται ιδιαίτερα εξελιγμένη, επομένως νέοι φορείς επίθεσης —ή βελτιωμένες μορφές RDStealer— είναι πιθανό να εμφανιστούν στο μέλλον.

Αν εσύ χρήση απομακρυσμένων επιτραπέζιων υπολογιστών μέσω RDP, το ασφαλέστερο στοίχημά σας είναι να υποθέσετε ότι το RDStealer μπορεί να έχει μολύνει το σύστημά σας. Ενώ ο ιός είναι πολύ έξυπνος για να αναγνωρίζεται εύκολα με μη αυτόματο τρόπο, μπορείτε να αποκρούσετε το RDStealer βελτιώνοντας την ασφάλεια πρωτόκολλα στον διακομιστή και τα συστήματα πελάτη σας και πραγματοποιώντας πλήρη σάρωση προστασίας από ιούς του συστήματος χωρίς περιττή αποκλεισμούς.

Είστε ιδιαίτερα ευάλωτοι σε μόλυνση από το RDStealer εάν χρησιμοποιείτε σύστημα Dell, καθώς φαίνεται να στοχεύει ειδικά υπολογιστές που κατασκευάζονται από την Dell. Το κακόβουλο λογισμικό σχεδιάστηκε σκόπιμα για να μεταμφιέζεται σε καταλόγους όπως το "Program Files\Dell\CommandUpdate" και χρησιμοποιεί τομείς εντολών και ελέγχου όπως "dell-a[.]ntp-update[.]com".

Ασφαλίστε την απομακρυσμένη επιφάνεια εργασίας σας ενάντια στο RDStealer

Το πιο σημαντικό πράγμα που μπορείτε να κάνετε για να προστατευτείτε από το RDStealer είναι να είστε προσεκτικοί στο διαδίκτυο. Αν και δεν είναι γνωστές πολλές λεπτομέρειες σχετικά με τον τρόπο εξάπλωσης του RDStealer εκτός από τις συνδέσεις RDP, αρκεί η προσοχή για την αποφυγή των περισσότερων φορέων μόλυνσης.

Χρησιμοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων

Μπορείτε να βελτιώσετε την ασφάλεια των συνδέσεων RDP εφαρμόζοντας βέλτιστες πρακτικές όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA). Απαιτώντας μια δευτερεύουσα μέθοδο ελέγχου ταυτότητας για κάθε σύνδεση, μπορείτε αποτρέπει πολλούς τύπους εισβολών RDP. Άλλες βέλτιστες πρακτικές, όπως η εφαρμογή ελέγχου ταυτότητας σε επίπεδο δικτύου (NLA) και η χρήση VPN, μπορούν επίσης να κάνουν τα συστήματά σας λιγότερο δελεαστικά και εύκολα στην παραβίαση.

Κρυπτογράφηση και δημιουργία αντιγράφων ασφαλείας των δεδομένων σας

Το RDStealer κλέβει δεδομένα αποτελεσματικά—και εκτός από το απλό κείμενο που βρίσκεται στα πρόχειρα και αποκτάται από το keylogging, αναζητά επίσης αρχεία όπως οι βάσεις δεδομένων κωδικών πρόσβασης KeePass. Αν και δεν υπάρχει θετική πλευρά στην κλοπή δεδομένων, μπορείτε να είστε σίγουροι ότι είναι δύσκολο να εργαστείτε με τυχόν κλεμμένα δεδομένα εάν είστε επιμελείς με την κρυπτογράφηση των αρχείων σας.

Η κρυπτογράφηση αρχείων είναι μια σχετικά απλή διαδικασία με τον σωστό οδηγό. Είναι επίσης εξαιρετικά αποτελεσματικό στη διαφύλαξη αρχείων, καθώς οι χάκερ θα πρέπει να αναλάβουν μια δύσκολη διαδικασία για την αποκρυπτογράφηση κρυπτογραφημένων αρχείων. Αν και είναι δυνατή η αποκρυπτογράφηση αρχείων, οι χάκερ είναι πιο πιθανό να προχωρήσουν σε ευκολότερους στόχους—και ως εκ τούτου, μπορεί να μην υποφέρετε καθόλου από την παραβίαση. Εκτός από την κρυπτογράφηση, θα πρέπει επίσης να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας για να αποτρέψετε την απώλεια πρόσβασης αργότερα.

Διαμορφώστε σωστά το Antivirus σας

Η σωστή διαμόρφωση του προγράμματος προστασίας από ιούς είναι επίσης σημαντική εάν θέλετε να προστατεύσετε το σύστημά σας. Το RDStealer εκμεταλλεύεται το γεγονός ότι πολλοί χρήστες θα αποκλείσουν ολόκληρους καταλόγους αντί για συγκεκριμένα προτεινόμενα αρχεία δημιουργώντας κακόβουλα αρχεία μέσα σε αυτούς τους καταλόγους. Εάν θέλετε το antivirus σας να βρει και να αφαιρέσει το RDStealer, πρέπει να το κάνετε αλλάξτε τις εξαιρέσεις του σαρωτή σας να περιλαμβάνει μόνο συγκεκριμένα προτεινόμενα αρχεία.

Για αναφορά, το RDStealer δημιουργεί κακόβουλα αρχεία σε καταλόγους (και τους αντίστοιχους υποκαταλόγους τους) που περιλαμβάνουν:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md λογισμικό αποθήκευσης\md βοηθητικό πρόγραμμα διαμόρφωσης\

Θα πρέπει να προσαρμόσετε τις εξαιρέσεις σάρωσης ιών σύμφωνα με τις οδηγίες που συνιστώνται από Microsoft. Εξαιρέστε μόνο τους συγκεκριμένους τύπους αρχείων και καταλόγους που αναφέρονται και μην εξαιρείτε τους γονικούς καταλόγους. Βεβαιωθείτε ότι το λογισμικό προστασίας από ιούς είναι ενημερωμένο και ολοκληρώστε μια πλήρη σάρωση συστήματος.

Μείνετε ενημερωμένοι με τα τελευταία νέα για την ασφάλεια

Ενώ η σκληρή δουλειά της ομάδας στο Bitdefender έχει επιτρέψει στους χρήστες να προστατεύουν τα συστήματά τους από το RDStealer, δεν είναι το μόνο κακόβουλο λογισμικό για το οποίο πρέπει να ανησυχείτε - και υπάρχει πάντα η πιθανότητα να εξελιχθεί σε νέο και απροσδόκητο τρόπους. Ένα από τα πιο σημαντικά βήματα που μπορείτε να κάνετε για να προστατεύσετε το σύστημά σας είναι να παρακολουθείτε τα τελευταία νέα σχετικά με τις αναδυόμενες απειλές για την ασφάλεια στον κυβερνοχώρο.

Προστατέψτε την απομακρυσμένη επιφάνεια εργασίας σας

Ενώ νέες απειλές εμφανίζονται καθημερινά, δεν χρειάζεται να παραιτηθείτε από το να πέσετε θύματα του επόμενου ιού. Μπορείτε να προστατέψετε την απομακρυσμένη επιφάνεια εργασίας σας μαθαίνοντας περισσότερα για πιθανούς φορείς επίθεσης, βελτιώνοντας την πρωτόκολλα ασφαλείας στα συστήματά σας και αλληλεπίδραση με περιεχόμενο στον ιστό από ένα δίκτυο που εστιάζει στην ασφάλεια προοπτική.