RDSealer 악성 코드로부터 원격 데스크톱을 보호하는 방법

새롭게 등장하는 사이버 보안 위협을 식별하는 과정은 끝이 없으며, 2023년 6월 BitDefender Labs는 2022년부터 네트워크 연결, 원격 데스크톱 연결을 사용하는 시스템을 표적으로 삼는 악성 코드 조각을 발견했습니다.

RDP(원격 데스크톱 프로토콜)를 사용하는 경우 자신이 표적인지, 데이터가 도난당했는지 확인하는 것이 중요합니다. 다행히 감염을 예방하고 PC에서 RDSealer를 제거하는 데 사용할 수 있는 몇 가지 방법이 있습니다.

RDSealer란 무엇인가요? 어떻게 표적이 되었나요?

RDSealer는 RDP 서버를 감염시키고 원격 연결을 모니터링하여 자격 증명과 데이터를 훔치려는 악성 코드입니다. RDSealer는 원격 데스크톱을 감염시키고 클라이언트 측 RDSealer 설치를 통해 지속적인 액세스를 허용하는 데 사용되는 백도어인 Logutil과 함께 배포됩니다 .

원격 컴퓨터가 서버에 연결되어 있고 CDM(클라이언트 드라이브 매핑)이 활성화되어 있음을 악성 코드가 감지하면 악성 코드는 컴퓨터의 콘텐츠를 검사하고 KeePass 비밀번호, 브라우저에 저장된 비밀번호 및 SSH 개인용 기밀 데이터베이스와 같은 파일을 찾습니다. 열쇠. 또한 키 입력과 클립보드 데이터도 수집합니다.

RDSealer는 서버 측인지 클라이언트 측인지에 관계없이 시스템을 대상으로 할 수 있습니다. RDSealer가 네트워크를 감염시키면 일반적으로 시스템 전체 악성코드 검사에서 제외되는 "%WinDir%\System32" 및 "%PROGRAM-FILES%" 와 같은 폴더에 악성 파일을 생성합니다.

Bitdefender에 따르면 이 악성코드는 여러 경로를 통해 확산됩니다. CDM 공격 벡터 외에도 RDSealer 감염은 감염된 웹 광고, 악성 이메일 첨부 파일 및 사회 공학 캠페인에서 발생할 수 있습니다 . RDStealer를 담당하는 그룹은 특히 정교한 것으로 보이므로 향후 새로운 공격 벡터, 즉 향상된 형태의 RDSealer가 나타날 수 있습니다.

RDP를 통해 원격 데스크톱을 사용하는 경우 가장 안전한 방법은 RDSealer가 시스템을 감염시켰다고 가정하는 것입니다. 바이러스가 너무 영리해서 수동으로 쉽게 식별할 수는 없지만, 서버와 클라이언트 시스템의 보안 프로토콜을 개선하고 불필요한 제외 없이 전체 시스템 바이러스를 검사함으로써 RDSealer를 예방할 수 있습니다.

Bitdefender에서 전체 시스템 검사 수행

Dell 시스템을 사용하는 경우 RDSealer에 특히 취약합니다. RDSealer는 특히 Dell에서 제조한 컴퓨터를 대상으로 하는 것으로 보입니다. 이 악성코드는 의도적으로 "Program Files\Dell\CommandUpdate" 와 같은 폴더로 위장 하고 "dell-a[.]ntp-update[. ]com"과 같은 명령 및 제어 도메인을 사용하도록 설계되었습니다 .

RDSealer로부터 원격 데스크톱 보호

RDSealer로부터 자신을 보호하기 위해 할 수 있는 가장 중요한 일은 웹을 탐색할 때 주의하는 것입니다. RDSealer가 RDP 연결을 넘어 어떻게 확산되는지에 대한 구체적인 내용은 많지 않지만 거의 모든 감염 경로를 피하기 위해 주의를 기울여야 합니다.

다단계 인증 사용

MFA(다단계 인증)와 같은 모범 사례를 구현하여 RDP 연결의 보안을 향상할 수 있습니다. 로그인할 때마다 보조 인증 방법을 요구함으로써 다양한 유형의 RDP 공격을 방지할 수 있습니다. 네트워크 수준 인증(NLA) 구현 및 VPN 사용 과 같은 다른 모범 사례 도 시스템의 매력을 떨어뜨리고 손상에 취약하게 만들 수 있습니다.

데이터 암호화 및 백업

RDSealer는 효과적으로 데이터를 훔칩니다. 클립보드에 있는 일반 텍스트와 키로깅을 통해 얻은 일반 텍스트 외에도 KeePass 비밀번호 데이터베이스와 같은 파일도 검색합니다. 도난당한 데이터에 긍정적인 영향은 없지만 파일을 부지런히 암호화하면 도난당한 데이터를 처리하기 어렵다는 점을 확신할 수 있습니다.

파일 암호화는 올바른 지침을 따르면 비교적 간단한 작업입니다. 해커가 암호화된 파일을 해독하려면 어려운 과정을 거쳐야 하기 때문에 파일 보호에도 매우 효과적입니다. 파일을 해독하는 것이 가능하더라도 해커는 더 쉬운 대상으로 이동할 가능성이 높으며 결과적으로 사용자는 전혀 손상되지 않습니다. 암호화 외에도 나중에 액세스 권한을 잃지 않도록 정기적으로 데이터를 백업해야 합니다.

바이러스 백신 소프트웨어를 올바르게 구성하십시오.

시스템을 보호하려면 바이러스 백신 소프트웨어를 올바르게 구성하는 것도 중요합니다. RDSealer는 많은 사용자가 이러한 폴더에 악성 파일을 생성하여 특별히 제안된 파일 대신 전체 폴더를 제외한다는 사실을 이용합니다. 바이러스 백신 소프트웨어가 RDSealer를 찾아 제거하도록 하려면 특별히 권장되는 파일만 포함하도록 제외 항목을 변경해야 합니다.

Bitdefender에서 바이러스 백신 예외 관리

참고로 RDSealer는 다음을 포함하여 폴더(및 해당 하위 폴더)에 악성 파일을 생성합니다.

• %WinDir%\System32\
• %WinDir%\System32\wbem
• %WinDir%\보안\데이터베이스
• %PROGRAM_FILES%\f-secure\psb\diagnostics
• %PROGRAM_FILES_x86%\dell\commandupdate\
• %PROGRAM_FILES%\dell\md 스토리지 소프트웨어\md 구성 유틸리티\

Microsoft에서 권장하는 지침에 따라 바이러스 검사 제외를 조정해야 합니다. 나열된 특정 파일 형식과 폴더만 제외하고 상위 폴더는 제외하지 마세요. 바이러스 백신 소프트웨어가 최신 상태인지 확인하고 전체 시스템 검사를 완료하세요.

최신 보안 뉴스 업데이트

Bitdefender 개발 팀은 사용자가 RDSealer로부터 시스템을 보호할 수 있도록 지원했지만 걱정해야 할 유일한 악성 코드는 아니며 항상 새로운 방식으로 발전할 가능성이 있습니다. 시스템을 보호하기 위해 취할 수 있는 가장 중요한 단계 중 하나는 새로운 사이버 보안 위협에 대한 최신 뉴스를 지속적으로 파악하는 것입니다.