Studie zu RDP-Attacken

RDP bleibt ein großes Sicherheitsrisiko

| Autor / Redakteur: Andreas Müller / Peter Schmitz

Cyberkriminelle nutzen Schwachstellen von RDP inzwischen aktiv als Teil ihrer Angriffstaktik weltweit im großen Stil aus.
Cyberkriminelle nutzen Schwachstellen von RDP inzwischen aktiv als Teil ihrer Angriffstaktik weltweit im großen Stil aus. (Bild: gemeinfrei / Pixabay)

RDP (Remote Desktop Protocol) ist ein weit verbreiteter Access Service, den Administratoren, mobile Mitarbeiter und Managed Service Provider (MSPs) vielfach nutzen. RDP schafft jedoch zugleich ein Einfallstor für Cyberangriffe, wie eine aktuelle Studie von Vectra belegt.

Laut Vectra 2019 Spotlight Report on RDP für den Zeitraum vom Januar bis Juni 2019 hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Unternehmensumgebungen erkannt. 90 Prozent wiesen Verhaltenserkennungen von RDP-Angreifern auf. Die fünf häufigsten Angriffsziele waren neben der Fertigungsindustrie und Finanzbranche der Einzelhandel, die öffentliche Verwaltung und das Gesundheitswesen.

Die folgenden drei Beispiele zeigen, dass die Nutzung von RDP als Teil der Angriffstaktik weltweit im großen Stil umgesetzt wird und teilweise auf staatliche Akteure zurückgeführt werden kann.

Die Cyberspionage-Gruppe APT39 führt seit längerer Zeit eine umfangreiche Kampagne mit einer breiten Palette von benutzerdefinierten und gängigen Tools durch. APT39 konzentrierte sich dabei bislang auf personenbezogene Daten, um Überwachungs- oder Verfolgungsmaßnahmen zu unterstützen, die den nationalen Prioritäten des Iran dienen. Ziel der Angreifer ist es wohl auch, zusätzliche Zugänge und Vektoren zu schaffen, die zukünftige Kampagnen erleichtern.

APT40 führt mindestens seit 2013 Operationen zur Unterstützung der Modernisierungsbemühungen der chinesischen Marine durch. Die Gruppe verwendet kompromittierte Zugangsdaten, um sich an anderen verbundenen Systemen anzumelden und Auskundschaftungen durchzuführen. Die Gruppe nutzt neben RDP auch SSH (Secure Shell), legitime Software in der Opferumgebung, eine Reihe von nativen Windows-Funktionen, öffentlich verfügbare Tools sowie spezifische Scripts, um die interne Auskundschaftung zu erleichtern.

SamSam ist ein Computer-Hacking- und Erpressungs-Programm, von dem über 200 Organisationen, darunter kritische Infrastrukturen, Krankenhäuser und Regierungsbehörden, weltweit und vor allem in den USA fast drei Jahre lang betroffen waren. Nach Angaben des US-Justizministeriums ergaunerten sich die Cyberangreifer rund sechs Millionen US-Dollar aus Lösegeldzahlungen und verursachten gleichzeitig über 30 Millionen US-Dollar Schaden als Folge der Angriffe. Einige der bemerkenswertesten Fälle betrafen Angriffe auf die Stadt Atlanta, die Stadt Newark, den Hafen von San Diego und das Kansas Heart Hospital.

Effektive Enttarnung von vor RDP-Angriffen bietet eine KI-basierte Plattform zur Erkennung und Reaktion auf Netzwerbedrohungen bzw. verdächtiges Verhalten. Dieser Ansatz beruht darauf, Netzwerk-Metadaten mit dem richtigen Kontext zu sammeln, mit weiteren Bedrohungsdaten anzureichern und zu speichern für die weitere KI-gestützte Analyse. Dadurch ist es möglich, versteckte Bedrohungen in Echtzeit zu erkennen, zu verfolgen und zu untersuchen. Entscheidend ist hierbei auch die Skalierbarkeit, um große, verteilte Netzwerkumgebungen vollständig abzudecken. Die Kombination aus Cloud-Ressourcen sowie virtuellen und physischen Sensoren liefert die erforderliche Rundumsicht auf Cloud-, Rechenzentrums-, Benutzer- und IoT-Netzwerke, sodass Angreifer sich nirgendwo in der Unternehmensumgebung verstecken können. Dies verleiht Security-Teams die Fähigkeit zwischen legitimer RDP-Nutzung und den Missbrauch von RDP durch potentielle Angreifer schnell und präzise zu unterscheiden, bevor diese ihr Ziel erreichen.

Über den Autor: Andreas Müller ist Regional Director DACH bei Vectra AI.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46401257 / Sicherheitslücken)