MalRDP beschreibt eine Angriffsmethode bei dem das Microsoft eigene Remote Desktop Protokoll (RDP), ein Netzwerkprotokoll für den Fernzugriff auf Windows Geräte, missbraucht wird. Die Methode ermöglicht es Angreifern, Dateien vom Zielsystem zu stehlen und auch über eine RDP-Session hinaus Schadcode auf dem System zu hinterlegen. Durch die gängige Verwendung des RDP in Unternehmensnetzwerken sind in vielen Fällen alle Voraussetzungen für einen Angriff gegeben.
Eine kritische Schwachstelle im RDP-Protokoll ermöglicht eine neue Angriffsmethode, die Schutzmaßnahmen bei RDP umgeht.
Die Ursprünge dieser Technik finden sich in Blogartikeln der IT-Sicherheitsforscher Mike Felch und Mor Davidovich. Felch hat bereits 2022 auf die Gefahren von RDP als Initial Access Methode aufmerksam gemacht. Beschrieben wird dadurch die Phase, in der ein Angreifer versucht, erste Zugangsmöglichkeiten zur Zielumgebung zu schaffen. Davidovich hat diese Methode im Rahmen von „MalRDP“ fortgeführt.
Disclaimer: Die im Folgenden beschriebenen Techniken dürfen lediglich zu legalen Zwecken und unter Kenntnis aller Beteiligten verwendet werden.
Phishing via PowerPoint und RDP Connector
Verdeckter RDP Connector Datei in PowerPoint-Folie.
(Bild: Kalweit ITS)
Das Platzieren von initialen Payloads auf Zielsystemen stellt für Angreifer einen wichtigen Schritt in der Angriffskette dar. Meist findet an dieser Stelle eine klassische Phishing-Mail mit einem unscheinbaren PPTX (PowerPoint) Dateianhang ihren Einsatz. Eingebettet in diese Datei befindet sich ein RDP Connector File. Dies ist eine Datei, welche es erlaubt, Verbindungseinstellungen für RDP zu speichern und auf Doppelklick zu öffnen. Für die Zielperson ist es dementsprechend schwierig, den Angriff festzustellen.
Signierte Dateien umgehen Sicherheitswarnungen
Nicht signierte RDP Connector Datei (oben) und signierte RDP Connector Datei (unten).
(Bild: Kalweit ITS)
An dieser Stelle kommt ein entscheidender Vorteil für den Angreifer zum Tragen. RDP erlaubt es, Connector Files zu signieren. Nicht signierte RDP Connector Files warnen den Nutzer vor der Initiierung der Verbindung. Ist das Connector File jedoch signiert, beispielsweise mit selbst ausgestellten Zertifikaten, so ist es möglich, diese Warnung zu unterdrücken und damit maßgeblich die wahrgenommene Vertrauenswürdigkeit der Datei zu erhöhen. So kann jegliche an das Ziel angelehnte Domain genutzt werden. Im Beispiel wird die Domain phishing.intranet-cloud.com verwendet, jedoch kann auch jede andere Domäne verwendet werden, die vom Angreifer kontrolliert wird, wie z.B. security-insider.intranet-cloud.com.
PyRDP: Man-in-the-Middle öffnet Tür zu Zielsystemen
Die einzigen Verbindungsinformationen, welche nicht direkt innerhalb des Connector Files hinterlegt werden können, sind die Anmeldeinformationen. Damit dennoch eine Verbindung ohne weiteres Mitwirken der Zielperson entstehen kann, wird hierzu das Tool PyRDP der Sicherheitsforscher von GoSecure verwendet.
Ausführung von PyRDP als Man-in-the-Middle Server.
(Bild: Kalweit ITS)
Dieses Tool ist ein sogenanntes Man-in-the-Middle Werkzeug. Mit Man-in-the-Middle wird eine Methode beschrieben, bei der sich ein Werkzeug in die Kommunikation von zwei Akteuren einhängt und diese somit manipulieren kann. Im Falle von RDP bedeutet dies, dass PyRDP die Anfragen des Clients an den RDP Server bearbeitet und anschließend weiterleitet. Dies ermöglicht es, einer RDP-Sitzung direkt Anmeldeinformationen hinzuzufügen, wodurch eine Authentisierung gegenüber dem RDP-Server ohne Aufforderung zur Eingabe eines Passwortes möglich wird.
Dateizugriff und Payload-Deployment über RDP
Local Drive Redirection auf dem RDP Server.
(Bild: Kalweit ITS)
Während des Verbindungsaufbaus kommt eine weitere Funktionalität des RDP zum Tragen: Local Drive Redirection. Mit dieser ist es möglich, dass das die Verbindung initialisierende System in einer RDP-Sitzung die lokal eingebundenen Datenträger am RDP-Zielsystem anbindet. Der RDP-Client stellt also seine Laufwerke auf der entfernten Maschine bereit, um dort das Arbeiten mit lokalen Dateien zu erlauben. Diese Funktionalität wird im Folgenden durch den Angreifer ausgenutzt.
Ausführungskette der Skripte.
(Bild: Kalweit ITS)
Nach einem erfolgreichen Verbindungsaufbau kann der Angreifer nicht direkt mit der RDP-Sitzung interagieren. Jedoch ist es möglich, diese Interaktion indirekt über Login-Skripte, welche bei Sitzungsbeginn ausgeführt werden, auszuüben. In diesem Beispiel wird eine Kette an Skripten gestartet. Unter dem Pfad „C:\Windows\System32\Repl\Import\Scripts“ können „.bat“ Skripte hinterlegt werden, welche bei einem Windows Login, z. B. durch RDP, ausgeführt werden. Dieses Startskript startet dann wiederum ein PowerShell-Skript, welches anschließend das Übertragen der Payloads übernimmt.
Zeitgleich mit dem Deployment kann der Angriff durch das PowerShell-Skript auch besser getarnt werden, beispielsweise indem der Microsoft Edge Browser im Kioskmodus gestartet wird. In Kombination mit einem passend vorher eingestellten Hintergrund ermöglicht dies, die eigentlich vorliegende RDP-Sitzung zu verschleiern. Die durch den Browser gezeigte Webseite kann im simpelsten Falle einen scheinbaren Ladebalken demonstrieren. Nach der erfolgreichen Übertragung der Daten wird die Sitzung durch das Skript abgemeldet.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Persistenz sichern – Autostart-Infektion mit LNK-Dateien
Die Payload im AppData/Local Ordner (oben) und die LNK Datei im Autostart Ordner (unten).
(Bild: Kalweit ITS)
Es werden zwei verschiedene Dateien auf das Zielsystem übertragen: Die erste Datei ist die eigentliche Payload. Dieser wurde mittels des Havoc C2 generiert. Die Payload in diesem Beispiel ist als einfache Anwendung erstellt worden. Dabei sei zu erwähnen, dass für die Demonstration auf dem Zielsystem die vorhandenen Sicherheitsmechanismen deaktiviert wurden. Die zweite Datei ist eine LNK-Verknüpfungsdatei. Beide Dateien werden auf das eingebundene Laufwerk des Zielsystems übertragen. Die Payload wird dabei unter dem Pfad „C:\Users\user10\AppData\Local\payload.exe“ abgelegt.
Infizierter Client in Havoc.
(Bild: Kalweit ITS)
Durch die Platzierung einer LNK-Datei mit Verweis auf die Payload im Autostart-Ordner „C:\Users\user10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup“ wird der Schadcode im Anschluss an den nächsten Neustart des Systems ausgeführt. Das Zielsystem verbindet sich daraufhin mit dem C2 Server und ist somit kompromittiert. Der Angreifer verfügt nun über die Fähigkeit, Aktionen im Rahmen der Nutzerberechtigungen auf dem Zielsystem umzusetzen.
Klassische Abwehrmethoden versagen – Neue Strategien gefordert
Ohne einschneidende Änderungen des RDP-Protokolls bleibt dieser Angriff ein leichtes Spiel für Täter. Vom Initial Access bis hin zur Persistenz auf dem Zielsystem ist es meist nur ein Doppelklick. Da dem RDP-Protokoll zudem grundsätzlich viel Vertrauen entgegengebracht wird, stehen die Chancen gut, dass Nutzer den Täuschungsversuch nicht bemerken, bevor es zu spät ist. Auch umgeht dieser Angriff das sogenannte „Mark of the Web“. Dies ist eine Markierung für Dateien, welche über das Internet heruntergeladen wurden. Da hier aber ein Kopieren von Festplatte nach Festplatte vorliegt, wird diese Markierung nicht gesetzt. Dies erschwert eine Erkennung auf dem Zielsystem.
Erfolgreiche Befehlsausführung auf dem infizierten System.
(Bild: Kalweit ITS)
Das Blockieren von ausgehenden RDP-Verbindungen für Nutzer oder eingehenden E-Mails mit angehängten RDP-Connector-Dateien kann kurzfristig Abhilfe verschaffen. Diese Funktionen sind jedoch auch für viele Unternehmen geschäftskritisch und damit nicht ohne Weiteres deaktivierbar.
Vor Kurzem wurde zudem durch einen Artikel von Google Threat Intelligence auf die Verwendung einer ähnlichen Angriffsmethode auf Europäische Regierungs- und Militärinstitutionen aufmerksam gemacht. Somit ist absehbar, dass sich „MalRDP“ zu einem Standard-Werkzeug im Repertoire von Angreifern und Red-Teamern entwickeln wird, solange keine weiteren Sicherheitsmaßnahmen durch Microsoft ergriffen werden.
Über die Autoren
Bengt Wegner ist Masterstudent und Red Teamer bei KALWEIT ITS mit einem Schwerpunkt auf Malware-Entwicklung. Er verfügt über mehr als fünf Jahre Berufserfahrung in der IT-Sicherheit – unter anderem durch Forschungsaufenthalte bei IBM in New York und Zürich. Als Speaker trat er zum Beispiel bei der CAST-Konferenz am Fraunhofer SIT mit einem Vortrag zur Post-Quantum-Kryptographie auf.
Max Burkhardt ist Leiter des Red Teams bei KALWEIT ITS und bringt mehr als fünf Jahre Erfahrung in der IT-Sicherheit mit. In seiner Rolle verantwortet er die Durchführung anspruchsvoller Angriffssimulationen sowie die Weiterentwicklung sicherheitsrelevanter Prozesse. Weitere Schwerpunkte liegen in den Bereichen Penetration Testing und Incident Response.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/66/82/66823f0785b0ad041cdc81eb864b3a9f/0124884590v2.jpeg "Die Analyse der aktuellen TA406-Kampagne gegen die Ukraine unterstreicht, wie flexibel und zielgerichtet staatlich unterstützte Hackergruppen nicht nur aus Nordkorea mittlerweile agieren. (Bild: © Vitalii - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/67/c667e02f4cebb0f9a20faca38248691c/0126695618v1.jpeg "Fileless Malware nutzt legitime Tools wie PowerShell, um unbemerkt im Arbeitsspeicher zu agieren und klassische Schutzmechanismen zu umgehen. (Bild: © Neuropixel - stock.adobe.com)")