يعد برنامج RDStealer الضار تهديدًا شاملاً تقريبًا يتم الاستفادة منه من خلال بروتوكول سطح المكتب البعيد (RDP). إليك ما تحتاج إلى معرفته.

لا تنتهي عملية تحديد تهديدات الأمن السيبراني الجديدة والناشئة - وفي يونيو 2023 ، BitDefender اكتشفت Labs جزءًا من البرامج الضارة التي كانت تستهدف الأنظمة التي تستخدم اتصالات سطح المكتب البعيد منذ ذلك الحين 2022.

إذا كنت تستخدم بروتوكول سطح المكتب البعيد (RDP) ، فإن تحديد ما إذا كنت مستهدفًا ، وما إذا كانت بياناتك قد تمت سرقتها ، يعد أمرًا حيويًا. لحسن الحظ ، هناك بعض الطرق التي يمكنك استخدامها لمنع الإصابة وإزالة RDStealer من جهاز الكمبيوتر الخاص بك.

ما هو RDStealer؟ هل تم استهدافي؟

RDStealer هو برنامج ضار يحاول سرقة بيانات اعتماد تسجيل الدخول وبياناته عن طريق إصابة خادم RDP ومراقبة اتصالاته البعيدة. يتم نشره جنبًا إلى جنب مع Logutil ، وهو باب خلفي يستخدم لإصابة أجهزة سطح المكتب البعيدة وتمكين الوصول المستمر من خلال تثبيت RDStealer من جانب العميل.

إذا اكتشف البرنامج الضار اتصال جهاز بعيد بالخادم وتم تمكين تعيين محرك العميل (CDM) ، فسيتم يمسح ما هو موجود على الجهاز ويبحث عن ملفات مثل قواعد بيانات كلمات مرور KeePass وكلمات المرور المحفوظة للمتصفح و SSH الخاص مفاتيح. يقوم أيضًا بجمع ضغطات المفاتيح وبيانات الحافظة.

instagram viewer

يمكن لـ RDStealer استهداف نظامك بغض النظر عما إذا كان من جانب الخادم أو من جانب العميل. عندما يصيب RDStealer شبكة ، فإنه ينشئ ملفات ضارة في مجلدات مثل "٪ WinDir٪ \ System32" و "٪ PROGRAM-FILES٪" والتي يتم استبعادها عادةً في عمليات فحص البرامج الضارة للنظام بالكامل.

تنتشر البرمجيات الخبيثة من خلال عدة نواقل ، وفقًا لـ Bitdefender. بصرف النظر عن ناقل هجوم آلية التنمية النظيفة ، يمكن أن تنشأ إصابات RDStealer من إعلانات الويب المصابة ومرفقات البريد الإلكتروني الضارة وحملات الهندسة الاجتماعية. تبدو المجموعة المسؤولة عن RDStealer معقدة بشكل خاص ، لذا من المحتمل ظهور ناقلات هجوم جديدة - أو أشكال محسّنة من RDStealer - في المستقبل.

اذا أنت استخدام أجهزة سطح المكتب البعيدة من خلال RDP، الرهان الأكثر أمانًا هو افتراض أن RDStealer ربما أصاب نظامك. في حين أن الفيروس ذكي للغاية بحيث لا يمكن التعرف عليه يدويًا بسهولة ، يمكنك درء RDStealer من خلال تحسين الأمان البروتوكولات الموجودة على الخادم وأنظمة العميل ، وعن طريق إجراء فحص شامل لمكافحة الفيروسات دون الحاجة إلى ذلك الاستثناءات.

أنت معرض بشكل خاص للإصابة من RDStealer إذا كنت تستخدم نظام Dell ، حيث يبدو أنه يستهدف أجهزة الكمبيوتر المصنعة من Dell على وجه التحديد. تم تصميم البرنامج الضار عمدًا لإخفاء نفسه في أدلة مثل "Program Files \ Dell \ CommandUpdate" ويستخدم مجالات القيادة والتحكم مثل "dell-a [.] ntp-update [.] com".

تأمين سطح المكتب البعيد الخاص بك ضد RDStealer

أهم شيء يمكنك القيام به لحماية نفسك من RDStealer هو توخي الحذر على الويب. على الرغم من عدم وجود العديد من التفاصيل المحددة حول كيفية انتشار RDStealer بصرف النظر عن اتصالات RDP ، فإن الحذر كافٍ لتجنب معظم نواقل العدوى.

استخدم المصادقة متعددة العوامل

يمكنك تحسين أمان اتصالات RDP من خلال تنفيذ أفضل الممارسات مثل المصادقة متعددة العوامل (MFA). من خلال طلب طريقة مصادقة ثانوية لكل تسجيل دخول ، يمكنك ذلك ردع العديد من أنواع الاختراقات RDP. يمكن لأفضل الممارسات الأخرى ، مثل تنفيذ المصادقة على مستوى الشبكة (NLA) واستخدام الشبكات الافتراضية الخاصة ، أن تجعل أنظمتك أقل إغراءً ويسهل اختراقها.

تشفير بياناتك ونسخها احتياطيًا

يسرق RDStealer البيانات بشكل فعال - وبغض النظر عن النص العادي الموجود في الحافظة والمكتسب من تسجيل المفاتيح ، فإنه يبحث أيضًا عن ملفات مثل قواعد بيانات كلمات مرور KeePass. على الرغم من عدم وجود جانب إيجابي لسرقة البيانات ، يمكنك أن تطمئن إلى أنه من الصعب التعامل مع أي بيانات مسروقة إذا كنت مجتهدًا في تشفير ملفاتك.

يعد تشفير الملفات أمرًا بسيطًا نسبيًا باستخدام الدليل الصحيح. كما أنها فعالة للغاية في حماية الملفات ، حيث سيحتاج المتسللون إلى إجراء عملية صعبة لفك تشفير الملفات المشفرة. في حين أنه من الممكن فك تشفير الملفات ، فمن المرجح أن ينتقل المتسللون إلى أهداف أسهل - ونتيجة لذلك ، قد لا تعاني من الخرق على الإطلاق. بصرف النظر عن التشفير ، يجب عليك أيضًا نسخ بياناتك احتياطيًا بانتظام لمنع فقدان الوصول لاحقًا.

تكوين برنامج مكافحة الفيروسات الخاص بك بشكل صحيح

يعد تكوين برنامج مكافحة الفيروسات بشكل صحيح أمرًا ضروريًا أيضًا إذا كنت تريد حماية نظامك. يستفيد RDStealer من حقيقة أن العديد من المستخدمين سيستبعدون أدلة كاملة بدلاً من ملفات معينة موصى بها عن طريق إنشاء ملفات ضارة داخل هذه الأدلة. إذا كنت تريد أن يقوم برنامج مكافحة الفيروسات الخاص بك بالعثور على RDStealer وإزالته ، فأنت بحاجة إلى ذلك تغيير استثناءات الماسح الضوئي الخاص بك لتضمين ملفات محددة موصى بها فقط.

كمرجع ، يقوم RDStealer بإنشاء ملفات ضارة في الدلائل (والأدلة الفرعية الخاصة بها) والتي تتضمن:

  • ٪ WinDir٪ \ System32 \
  • ٪ WinDir٪ \ System32 \ wbem
  • ٪ WinDir٪ \ الأمان \ قاعدة البيانات
  • ٪ PROGRAM_FILES٪ \ f-secure \ psb \ Diagnostics
  • ٪ PROGRAM_FILES_x86٪ \ dell \ commandupdate \
  • ٪ PROGRAM_FILES٪ \ dell \ md برنامج تخزين \ md أداة تكوين مساعدة \

يجب عليك تعديل استثناءات فحص الفيروسات وفقًا للإرشادات التي أوصت بها مايكروسوفت. استبعد فقط أنواع الملفات والدلائل المحددة ولا تستبعد الدلائل الأصلية. تحقق من أن برنامج مكافحة الفيروسات محدثًا واستكمل فحصًا كاملاً للنظام.

مواكبة آخر أخبار الأمن

في حين أن العمل الشاق للفريق في Bitdefender قد مكّن المستخدمين من حماية أنظمتهم من RDStealer ، إلا أنه ليس البرنامج الضار الوحيد الذي يجب أن تقلق بشأنه - وهناك دائمًا احتمال أن يتطور بشكل جديد وغير متوقع طرق. من أهم الخطوات التي يمكنك اتخاذها لحماية نظامك هي مواكبة آخر الأخبار حول تهديدات الأمن السيبراني الناشئة.

حماية سطح المكتب البعيد الخاص بك

بينما تظهر تهديدات جديدة كل يوم ، لا يتعين عليك الاستسلام للوقوع ضحية للفيروس التالي. يمكنك حماية سطح المكتب البعيد الخاص بك عن طريق معرفة المزيد حول ناقلات الهجوم المحتملة ، وتحسين بروتوكولات الأمان على أنظمتك ، والتفاعل مع المحتوى على الويب من منظور يركز على الأمان وجهة نظر.