Sådan beskytter du dit fjernskrivebord mod RDStealer-malware

Processen med at identificere nye og nye cybersikkerhedstrusler slutter aldrig – og i juni 2023, BitDefender Labs opdagede et stykke malware, der siden har været målrettet mod systemer, der bruger fjernskrivebordsforbindelser 2022.

Hvis du bruger Remote Desktop Protocol (RDP), er det afgørende at afgøre, om du er blevet målrettet, og om dine data er blevet stjålet. Heldigvis er der et par metoder, du kan bruge til at forhindre infektion og fjerne RDStealer fra din pc.

Hvad er RDStealer? Er jeg blevet målrettet?

RDStealer er malware, der forsøger at stjæle login-legitimationsoplysninger og data ved at inficere en RDP-server og overvåge dens fjernforbindelser. Den implementeres sammen med Logutil, en bagdør, der bruges til at inficere fjernskriveborde og muliggøre vedvarende adgang via en klientsideinstallation af RDStealer.

Hvis malwaren registrerer, at en ekstern maskine har oprettet forbindelse til serveren, og at Client Drive Mapping (CDM) er aktiveret, scanner, hvad der er på maskinen og søger efter filer som KeePass-adgangskodedatabaser, browsergemte adgangskoder og SSH private nøgler. Den indsamler også tastetryk og udklipsholderdata.

RDStealer kan målrette dit system, uanset om det er server- eller klient-side. Når RDStealer inficerer et netværk, opretter det ondsindede filer i mapper såsom "%WinDir%\System32" og "%PROGRAM-FILES%", der typisk er udelukket i fuld-system malware-scanninger.

Malwaren spreder sig gennem flere vektorer, ifølge Bitdefender. Bortset fra CDM-angrebsvektoren kan RDStealer-infektioner stamme fra inficerede webreklamer, ondsindede vedhæftede filer i e-mails og social engineering-kampagner. Gruppen ansvarlig for RDStealer virker særligt sofistikeret, så nye angrebsvektorer – eller forbedrede former for RDStealer – vil sandsynligvis dukke op i fremtiden.

hvis du bruge fjernskriveborde gennem RDP, er din sikreste indsats at antage, at RDStealer kan have inficeret dit system. Selvom virussen er for smart til at identificere manuelt med lethed, kan du afværge RDStealer ved at forbedre sikkerheden protokoller på din server og klientsystemer, og ved at udføre en fuld-system antivirus scanning uden unødvendige udelukkelser.

Du er særligt sårbar over for infektion fra RDStealer, hvis du bruger et Dell-system, da det ser ud til at være specifikt målrettet mod Dell-fremstillede computere. Malwaren var bevidst designet til at skjule sig selv i mapper som "Program Files\Dell\CommandUpdate" og bruger kommando-og-kontrol-domæner som "dell-a[.]ntp-update[.]com".

Sikre dit fjernskrivebord mod RDStealer

Det vigtigste du kan gøre for at beskytte dig mod RDStealer er at være forsigtig på nettet. Selvom der ikke er mange detaljer kendt om, hvordan RDStealer spredes bortset fra RDP-forbindelser, er forsigtighed nok til at undgå de fleste infektionsvektorer.

Brug Multi-Factor Authentication

Du kan forbedre sikkerheden for RDP-forbindelser ved at implementere bedste praksis såsom multi-factor authentication (MFA). Ved at kræve en sekundær godkendelsesmetode for hvert login kan du afskrække mange typer RDP-hack. Andre bedste praksisser, såsom implementering af netværksniveaugodkendelse (NLA) og brug af VPN'er, kan også gøre dine systemer mindre tillokkende og nemme at bryde.

Krypter og sikkerhedskopier dine data

RDStealer stjæler data effektivt - og bortset fra den almindelige tekst, der findes i udklipsholdere og hentes fra keylogging, leder den også efter filer som KeePass Password Databases. Selvom der ikke er nogen positiv side ved at få data stjålet, kan du være sikker på, at alle stjålne data er svære at arbejde med hvis du er flittig med at kryptere dine filer.

Filkryptering er en forholdsvis enkel ting at gøre med den rigtige guide. Det er også ekstremt effektivt til at beskytte filer, da hackere bliver nødt til at gennemføre en vanskelig proces for at dekryptere krypterede filer. Selvom det er muligt at dekryptere filer, er der større sandsynlighed for, at hackere bevæger sig videre til lettere mål - og som følge heraf lider du muligvis slet ikke af bruddet. Bortset fra kryptering bør du også regelmæssigt sikkerhedskopiere dine data for at forhindre, at du mister adgang senere.

Konfigurer dit antivirus korrekt

At konfigurere dit antivirus korrekt er også afgørende, hvis du vil beskytte dit system. RDStealer udnytter det faktum, at mange brugere vil udelukke hele mapper i stedet for specifikke anbefalede filer ved at oprette ondsindede filer i disse mapper. Hvis du vil have dit antivirus til at finde og fjerne RDStealer, skal du ændre dine scannerekskluderinger kun at inkludere specifikke anbefalede filer.

Til reference opretter RDStealer ondsindede filer i mapper (og deres respektive undermapper), der inkluderer:

• %WinDir%\System32\
• %WinDir%\System32\wbem
• %WinDir%\sikkerhed\database
• %PROGRAM_FILES%\f-secure\psb\diagnostics
• %PROGRAM_FILES_x86%\dell\commandupdate\
• %PROGRAM_FILES%\dell\md lagringssoftware\md konfigurationsværktøj\

Du bør justere dine virusscanningsekskluderinger i overensstemmelse med retningslinjerne anbefalet af Microsoft. Udeluk kun de angivne specifikke filtyper og mapper, og udelad ikke overordnede mapper. Bekræft, at din antivirus er opdateret, og udfør en komplet systemscanning.

Hold dig opdateret med de seneste sikkerhedsnyheder

Mens det hårde arbejde fra holdet hos Bitdefender har gjort det muligt for brugere at beskytte deres systemer mod RDStealer, er ikke den eneste malware, du skal bekymre dig om - og der er altid en chance for, at den vil udvikle sig i nye og uventede måder. Et af de vigtigste skridt, du kan tage for at beskytte dit system, er at følge med i de seneste nyheder om nye cybersikkerhedstrusler.

Beskyt dit fjernskrivebord

Mens nye trusler dukker op hver dag, behøver du ikke at resignere med at blive offer for den næste virus. Du kan beskytte dit fjernskrivebord ved at lære mere om potentielle angrebsvektorer og forbedre sikkerhedsprotokoller på dine systemer og interaktion med indhold på nettet fra en sikkerhedsfokuseret perspektiv.