Gefahren durch Remote Desktop Control nehmen zu
23. August 2018In seinen Untersuchungen hat Rapid7 Aktivitäten von Identitätsdiebstahl und Datenlecks in Benutzerkonten in allen Branchen festgestellt, zusammen mit einer Zunahme von Fernzugriffsversuchen. Zusätzlich zu Microsofts Server Message Block (SMB)-Protokoll zeigten die Angreifer Interesse an Microsofts Remote-Desktop-Protokoll (RDP), wobei die Angreifer bei vielen Zugriffsversuchen Brute-Force-Methoden anwendeten. Botnet-Wrangler haben sich im zweiten Quartal definitiv keine Urlaubszeit genommen. Die Heisenberg Honeypot Nodes haben in diesem Zeitraum zahlreiche Versuche identifiziert, verschiedene Geräte und Dienste zu erfassen und zu kapern. Hierzu zählen Kampagnen gegen verschiedene Router, Android-Debugger-fähige Systeme, Drupal und WebLogic.
Insgesamt zeigte das zweite Quartal 2018 eine Rückkehr zu den erwarteten Aktivitätsmustern. Die Angreifer konzentrierten sich dabei auf die Sektoren und Datentypen, die sie seit Jahren kennen und lieben: Finanzdaten, Kundendaten und sensible Informationen, die – nur begrenzt durch die Phantasie des Angreifers – vielfältig genutzt werden können. Krypto-Mining hat sich auch fest etabliert. So beobachten wir von Quartal zu Quartal eine Zunahme von Krypto-Minern auf Systemen sowie neue Bot-basierte Kampagnen wie die jüngsten MikroTik-, WebLogic- und ADB-Aktivitäten.
Der Fernzugriff ist sowohl beim Diebstahl von Informationen als auch beim Schürfen von Krypto-Währungen von höchster Bedeutung. Diebstahl von Zugangsdaten, Credential Dumping und Brute-Force-Taktiken dienen allesamt dazu, sich den Zugang zu Systemen zu verschaffen. Durch die Überwachung und Erkennung von Brute-Force-Angriffen, verdächtiger Authentifizierung aus verschiedenen Ländern und Authentifizierung von verschiedenen Unternehmen ist es möglich, diese Art von Aktivitäten zu identifizieren. Die Implementierung von Multi-Faktor-Authentifizierung und die Überwachung, ob Zugangsdaten kompromittiert wurden, können Unternehmen dabei helfen, sich aktiv vor diesen Bedrohungen zu schützen.
Das Verständnis der Risiken ist ein weiterer wichtiger Aspekt bei der Bekämpfung der Bedrohungen, die wir von Quartal zu Quartal erleben. Extern exponiertes RDP (Remote Desktop Protocol), selbst wenn es nur für einen kurzen Zeitraum offenliegt, kann verheerende Auswirkungen auf ein Unternehmen haben. Dies konnten wir bei mehreren RDP-fähigen Ransomware-Angriffen im zweiten Quartal beobachten. Die Exposition kann sich nicht nur auf die herkömmliche IT-Infrastruktur eines Unternehmens auswirken, sondern kann auch bedeuten, dass dessen eingebetteten Systeme, einschließlich Kameras, Türklingeln und Bewegungssensoren, zu Botnets hinzugefügt werden. Diese werden zur Durchführung zusätzlicher Angriffe verwendet, während sie an den fremden Ressourcen zehren. Das Wissen über Bedrohungen und über die eigene Umgebung sowie ein aktiver Ansatz zur Behebung von Bedrohungen und Schwachstellen tragen wesentlich dazu bei, dass Unternehmen und deren Netzwerke sicher bleiben. (rhh)
Hier geht es zum Quarterly Threat Report 2018 von Rapid7