Како да заштитите своју удаљену радну површину од РДСтеалер злонамерног софтвера

Процес идентификације нових и новонасталих претњи сајбер безбедности се никада не завршава—и у јуну 2023. БитДефендер Лабораторије су откриле део малвера који од тада циља системе који користе везе са удаљеном радном површином 2022.

Ако користите протокол удаљене радне површине (РДП), од виталног је значаја утврђивање да ли сте били мета и да ли су ваши подаци украдени. Срећом, постоји неколико метода које можете користити да спречите инфекцију и уклоните РДСтеалер са свог рачунара.

Шта је РДСтеалер? Да ли сам био на мети?

РДСтеалер је злонамерни софтвер који покушава да украде акредитиве и податке за пријављивање тако што инфицира РДП сервер и надгледа његове удаљене везе. Примењује се заједно са Логутилом, бацкдоор-ом који се користи за заразу удаљених десктопа и омогућава упоран приступ кроз инсталацију РДСтеалер-а на страни клијента.

Ако злонамерни софтвер открије да се удаљена машина повезала са сервером и да је омогућено Цлиент Дриве Маппинг (ЦДМ), скенира шта је на машини и тражи датотеке као што су КееПасс базе података лозинки, лозинке сачуване у прегледачу и ССХ приватне кључеви. Такође прикупља податке о притиском на тастере и међуспремнику.

РДСтеалер може циљати ваш систем без обзира да ли је на страни сервера или на страни клијента. Када РДСтеалер инфицира мрежу, ствара злонамерне датотеке у фасциклама као што су „%ВинДир%\Систем32“ и „%ПРОГРАМ-ФИЛЕС%“ које су обично искључене у скенирању целог система малвера.

Малвер се шири кроз неколико вектора, према Битдефендер. Осим вектора ЦДМ напада, инфекције РДСтеалер-ом могу потицати од заражених веб реклама, злонамерних прилога е-поште и кампања друштвеног инжењеринга. Група одговорна за РДСтеалер изгледа посебно софистицирана, тако да ће се у будућности вероватно појавити нови вектори напада — или побољшани облици РДСтеалер-а.

ако ти користите удаљене радне површине преко РДП-а, најсигурније је претпоставити да је РДСтеалер можда заразио ваш систем. Иако је вирус превише паметан да би се могао ручно идентификовати са лакоћом, можете да спречите РДСтеалер побољшањем безбедности протокола на вашем серверском и клијентском систему и извођењем антивирусног скенирања целог система без непотребних искључења.

Посебно сте рањиви на инфекцију од РДСтеалер-а ако користите Делл систем, јер изгледа да посебно циља рачунаре које производи Делл. Малвер је намерно дизајниран да се маскира у директоријумима као што су „Програм Филес\Делл\ЦоммандУпдате“ и користи домене команде и контроле као што је „делл-а[.]нтп-упдате[.]цом“.

Заштитите своју удаљену радну површину од РДСтеалер-а

Најважнија ствар коју можете да урадите да бисте се заштитили од РДСтеалер-а је да будете опрезни на вебу. Иако се не зна много детаља о томе како се РДСтеалер шири осим РДП веза, довољан је опрез да се избегне већина вектора инфекције.

Користите вишефакторску аутентификацију

Можете побољшати безбедност РДП веза применом најбољих пракси као што је вишефакторска аутентификација (МФА). Захтевајући секундарни метод аутентификације за свако пријављивање, можете одвратити многе врсте РДП хакова. Друге најбоље праксе, као што је имплементација аутентификације на нивоу мреже (НЛА) и коришћење ВПН-ова, такође могу учинити ваше системе мање примамљивим и лаким за пробијање.

Шифрујте и направите резервну копију података

РДСтеалер ефикасно краде податке—и осим отвореног текста који се налази у клипбордима и добијен путем кејлоговања, такође тражи датотеке као што су КееПасс базе података лозинки. Иако нема позитивне стране крађе података, можете бити сигурни да је са свим украденим подацима тешко радити ако сте марљиви око шифровања датотека.

Шифровање датотека је релативно једноставна ствар са правим водичем. Такође је изузетно ефикасан у заштити датотека, јер ће хакери морати да предузму тежак процес за дешифровање шифрованих датотека. Иако је могуће дешифровати датотеке, вероватније је да ће хакери прећи на лакше мете — и као резултат тога, можда нећете уопште патити од кршења. Поред шифровања, требало би да редовно правите резервне копије података како бисте спречили губитак приступа касније.

Исправно конфигуришите свој антивирус

Исправно конфигурисање антивирусног програма такође је кључно ако желите да заштитите свој систем. РДСтеалер користи чињеницу да ће многи корисници искључити читаве директоријуме уместо одређених препоручених датотека креирајући злонамерне датотеке унутар ових директоријума. Ако желите да ваш антивирус пронађе и уклони РДСтеалер, морате то промените изузетке скенера да укључује само одређене препоручене датотеке.

За референцу, РДСтеалер креира злонамерне датотеке у директоријумима (и њиховим одговарајућим поддиректоријумима) који укључују:

• %ВинДир%\Систем32\
• %ВинДир%\Систем32\вбем
• %ВинДир%\сецурити\датабасе
• %ПРОГРАМ_ФИЛЕС%\ф-сецуре\псб\диагностицс
• %ПРОГРАМ_ФИЛЕС_к86%\делл\цоммандупдате\
• %ПРОГРАМ_ФИЛЕС%\делл\мд софтвер за складиштење\мд конфигурациони услужни програм\

Требало би да прилагодите искључења за скенирање вируса у складу са смерницама које препоручује Мицрософт. Изузмите само одређене типове датотека и наведене директоријуме и не искључујте родитељске директоријуме. Проверите да ли је ваш антивирус ажуриран и довршите потпуно скенирање система.

Будите у току са најновијим безбедносним вестима

Иако је напоран рад тима у Битдефендер-у омогућио корисницима да заштите своје системе од РДСтеалер-а, није једини злонамерни софтвер о коме морате да бринете – и увек постоји шанса да ће се развити у нове и неочекиване начине. Један од најважнијих корака које можете предузети да заштитите свој систем је да будете у току са најновијим вестима о новим претњама у сајбер безбедности.

Заштитите своју удаљену радну површину

Иако се свакодневно појављују нове претње, не морате да се помирите да постанете жртва следећег вируса. Можете да заштитите своју удаљену радну површину тако што ћете сазнати више о потенцијалним векторима напада и побољшати безбедносних протокола на вашим системима и интеракције са садржајем на вебу из безбедносног фокуса перспектива.