התוכנה הזדונית RDStealer היא איום כמעט כוללני הממונף באמצעות פרוטוקול שולחן עבודה מרוחק (RDP). הנה מה שאתה צריך לדעת.

תהליך זיהוי איומי אבטחת סייבר חדשים ומתעוררים לעולם אינו מסתיים - וביוני 2023, BitDefender Labs גילתה תוכנה זדונית שמכוונת למערכות המשתמשות בחיבורי שולחן עבודה מרוחק מאז 2022.

אם אתה משתמש בפרוטוקול שולחן עבודה מרוחק (RDP), חשוב לקבוע אם התמקדו בכם והאם הנתונים שלכם נגנבו. למרבה המזל, ישנן כמה שיטות בהן תוכל להשתמש כדי למנוע זיהום ולהסיר את RDStealer מהמחשב שלך.

מה זה RDStealer? האם כיוונו אותי?

RDStealer הוא תוכנה זדונית שמנסה לגנוב אישורי כניסה ונתונים על ידי הדבקה של שרת RDP ומעקב אחר החיבורים המרוחקים שלו. הוא מתפרס לצד Logutil, דלת אחורית המשמשת להדבקת שולחנות עבודה מרוחקים ולאפשר גישה מתמשכת באמצעות התקנת RDStealer בצד הלקוח.

אם התוכנה הזדונית מזהה שמכשיר מרוחק התחבר לשרת ושמיפוי כונן לקוח (CDM) מופעל, סורק את מה שמופיע במחשב ומחפש קבצים כמו מסדי נתונים של סיסמאות KeePass, סיסמאות שמורות בדפדפן ו-SSH פרטי מפתחות. זה גם אוסף הקשות ונתוני לוח.

RDStealer יכול למקד את המערכת שלך ללא קשר אם היא בצד השרת או בצד הלקוח. כאשר RDStealer מדביק רשת, הוא יוצר קבצים זדוניים בתיקיות כגון "%WinDir%\System32" ו-"%PROGRAM-FILES%" שבדרך כלל אינם נכללים בסריקות של תוכנות זדוניות במערכת מלאה.

instagram viewer

התוכנה הזדונית מתפשטת דרך מספר וקטורים, לפי Bitdefender. מלבד וקטור ההתקפה של CDM, זיהומים של RDStealer יכולים לנבוע מפרסומות אינטרנט נגועות, קבצים מצורפים דוא"ל זדוניים וקמפיינים של הנדסה חברתית. הקבוצה האחראית ל-RDStealer נראית מתוחכמת במיוחד, ולכן סביר להניח ש-וקטורי התקפה חדשים - או צורות משופרות של RDStealer - יצוצו בעתיד.

אם אתה השתמש במחשבים שולחניים מרוחקים דרך RDP, ההימור הבטוח ביותר שלך הוא להניח שייתכן ש-RDStealer הדביק את המערכת שלך. בעוד שהנגיף חכם מכדי להזדהות ידנית בקלות, אתה יכול להדוף את RDStealer על ידי שיפור האבטחה פרוטוקולים במערכות השרת והלקוחות שלך, ועל ידי ביצוע סריקת אנטי וירוס מערכת מלאה ללא צורך אי הכללות.

אתה חשוף במיוחד לזיהום מ-RDStealer אם אתה משתמש במערכת של Dell, מכיוון שנראה שהיא מכוונת ספציפית למחשבים מתוצרת Dell. התוכנה הזדונית תוכננה בכוונה להסוות את עצמה בספריות כמו "Program Files\Dell\CommandUpdate" ומשתמשת בדומיינים של פקודה ושליטה כמו "dell-a[.]ntp-update[.]com".

אבטח את שולחן העבודה המרוחק שלך מפני RDStealer

הדבר החשוב ביותר שאתה יכול לעשות כדי להגן על עצמך מפני RDStealer הוא להיות זהיר באינטרנט. אמנם אין הרבה פרטים ידועים על האופן שבו RDStealer מתפשט מלבד חיבורי RDP, אבל זהירות מספיקה כדי להימנע מרוב וקטורי הזיהום.

השתמש באימות רב-גורמי

אתה יכול לשפר את האבטחה של חיבורי RDP על ידי יישום שיטות עבודה מומלצות כמו אימות רב-גורמי (MFA). על ידי דרישת שיטת אימות משנית עבור כל התחברות, אתה יכול להרתיע סוגים רבים של פריצות ל-RDP. שיטות עבודה מומלצות אחרות, כמו הטמעת אימות ברמת הרשת (NLA) ושימוש ב-VPN, יכולות גם להפוך את המערכות שלך לפחות מפתות וקלות לפריצה.

הצפנה וגבה את הנתונים שלך

RDStealer גונב נתונים ביעילות - ומלבד הטקסט הפשוט שנמצא בלוחות ונרכש מ-keylogging, הוא גם מחפש קבצים כמו KeePass Password Databases. אמנם אין צד חיובי בגניבת נתונים, אבל אתה יכול להיות סמוך ובטוח שקשה לעבוד איתו על כל מידע שנגנב אם אתה חרוץ להצפין את הקבצים שלך.

הצפנת קבצים היא דבר פשוט יחסית לעשות עם המדריך הנכון. זה גם יעיל מאוד בשמירה על קבצים, מכיוון שהאקרים יצטרכו לבצע תהליך קשה כדי לפענח קבצים מוצפנים. אמנם אפשר לפענח קבצים, אבל האקרים נוטים יותר לעבור למטרות קלות יותר - וכתוצאה מכך, ייתכן שלא תסבול מהפרצה כלל. מלבד הצפנה, עליך גם לגבות באופן קבוע את הנתונים שלך כדי למנוע איבוד גישה מאוחר יותר.

הגדר את האנטי וירוס שלך בצורה נכונה

הגדרה נכונה של האנטי וירוס שלך היא גם חיונית אם אתה רוצה להגן על המערכת שלך. RDStealer מנצל את העובדה שמשתמשים רבים לא יכללו ספריות שלמות במקום קבצים מומלצים ספציפיים על ידי יצירת קבצים זדוניים בתוך ספריות אלו. אם אתה רוצה שהאנטי וירוס שלך ימצא ויסיר את RDStealer, אתה צריך לשנות את אי הכללות הסורק שלך לכלול רק קבצים מומלצים ספציפיים.

לעיון, RDStealer יוצר קבצים זדוניים בספריות (ובתיקי המשנה שלהם) הכוללים:

  • %WinDir%\System32\
  • %WinDir%\System32\wbem
  • %WinDir%\security\database
  • %PROGRAM_FILES%\f-secure\psb\diagnostics
  • %PROGRAM_FILES_x86%\dell\commandupdate\
  • %PROGRAM_FILES%\dell\md תוכנת אחסון\md כלי תצורה\

עליך להתאים את אי הכללות סריקת הווירוסים שלך בהתאם להנחיות המומלצות על ידי מיקרוסופט. אל תכלול רק את סוגי הקבצים והספריות הספציפיים שצוינו ואל תבצע אי הכללה של ספריות אב. ודא שהאנטי וירוס שלך מעודכן והשלם סריקת מערכת מלאה.

התעדכן בחדשות האבטחה האחרונות

למרות שהעבודה הקשה של הצוות ב-Bitdefender אפשרה למשתמשים להגן על המערכות שלהם מפני RDStealer, היא לא התוכנה הזדונית היחידה שאתה צריך לדאוג ממנה - ותמיד יש סיכוי שהיא תתפתח בחדשות ובלתי צפויות דרכים. אחד הצעדים החשובים ביותר שאתה יכול לנקוט כדי להגן על המערכת שלך הוא להתעדכן בחדשות האחרונות על איומי אבטחת סייבר מתעוררים.

הגן על שולחן העבודה המרוחק שלך

בעוד איומים חדשים צצים מדי יום, אינך צריך להשלים עם נפילת הקורבן לוירוס הבא. אתה יכול להגן על שולחן העבודה המרוחק שלך על ידי למידה נוספת על וקטורי התקפה פוטנציאליים, שיפור ה פרוטוקולי אבטחה במערכות שלך, ואינטראקציה עם תוכן באינטרנט מאבטחה ממוקדת נקודת מבט.