Mit <kes>+ lesen

RDP – gleichermaßen nützlich wie gefährlich

Das gängige Fernwartungsprotokoll RDP (Remote-Desktop-Protocol) wird häufig auch von Cyberangreifern für bösartige Zwecke ausgenutzt. Prävention ist sinnvoll und möglich – entscheidend ist es jedoch, zunächst die Angriffsmethoden zu kennen und zu erkennen.

Andreas Müller
Lesezeit 10 Min.

Das Remote-Desktop-Protocol (RDP, [1]) von Microsoft ermöglicht Nutzern einen Fernzugriff auf ihre Computer. Es ist gleichzeitig eines der beliebtesten Administrationstools, mit dem Systemadministratoren ihre Remotesysteme mit der gleichen Funktionalität zentral steuern können, als wären sie vor Ort. Managed-Service-Provider (MSPs) nutzen das Tool vielfach zur Verwaltung von hunderten Kundennetzwerken und -systemen. Während RDP die Fernadministration verteilter IT-Systeme enorm erleichtert, schafft es zugleich aber auch ein weiteres Einfallstor für Cyberangriffe.

Verschiedene Quellen berichten von einer Häufung von RDP-Angriffen. Schon 2018 gab das Internet Crime Complaint Center (IC3) eine spezielle Sicherheitswarnung zum Thema RDP heraus. Bösartige Aktivitäten in Zusammenhang mit RDP umfassen Ransomware, Datendiebstahl, die Installation von Backdoors, das sogenannte Pivoting (aka Lateral Movement) sowie das Starten weiterer Angriffe von einem kompromittierten Netzwerk aus. Auf Handelsplattformen im Darknet sollen Zugangsdaten für RDP-Accounts bereits für einstellige Dollarbeträge pro Server angeboten worden sein.

Große Angriffsfläche

Eine aktuelle Studie belegt, dass RDP tatsächlich eine große und anfällige Angriffsfläche in vielen Netzwerken schafft: Laut dem Vectra 2019 Spotlight Report on RDP [2] für den Zeitraum vom Januar bis Juni 2019 hat die KI-basierte Plattform Cognito 26 800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen erkannt. 90 % dieser Implementierungen wiesen Verhaltenserkennungen von RDPAngreifern auf. In der Fertigungsindustrie und in der Finanz- und Versicherungsbranche lag mit zehn beziehungsweise acht Erkennungen pro 10 000 Workloads und Geräten die höchste Rate an RDP-Erkennungen vor. Innerhalb der Fertigungsindustrie wiesen mittelgroße Unternehmen die höchste Rate mit 20 Erkennungen pro 10 000 Workloads oder Geräten auf. Die fünf häufigsten Angriffsziele neben der Fertigungsindustrie und Finanzbranche waren der Einzelhandel, die öffentliche Verwaltung und das Gesundheitswesen. Die drei erstgenannten Branchen machten zusammen fast die Hälfte (49,8 %) aller RDP-Erkennungen aus.

Im Mai 2019 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einer kritischen Schwachstelle im RDPDienst einiger Windows-Versionen. Überdies ist auch im kürzlich veröffentlichten BSI-Lagebericht 2019 nachzulesen, dass sich Cyberangreifer Fernwartungstools wie RDP zunutze machen. Sie verschaffen sich damit manuell Zugriff auf vorher automatisiert infizierte Netze, wo sie Backdoors installieren.

Schwachstellen

Ein möglicher Angriffsvektor ist ein Brute-Force-Angriff, um gültige RDP-Zugangsdaten zu finden. Hierbei scannt ein bösartiger Akteur eine Reihe von IP-Adressen, sucht nach offenen Ports, die von RDP genutzt werden (z. B. Port 3389) und führt dann einen Brute-Force-Angriff aus, um das Passwort zu bestimmen. Angriffe dieser Art können die gleichen Folgen haben wie ein Denialof-Service-Angriff (DoS), da das Betriebssystem aufgrund der Masse von Anfragen überlastet wird und schließlich seinen Dienst verweigert. Ebenso wird bei RDP-Angriffen anfälliger Code ausgenutzt, besonders die RDP-spezifische Schwachstelle CVE-2018-0976.

Die generellen Schwachstellen von RDP sind seit Jahren bekannt: Die RDP-Kommunikation ist mittlerweile standardmäßig über TLS verschlüsselt. Ein Angreifer kann jedoch einen Man-in-the-Middle-Angriff starten, um an RDP-Zugangsdaten zu gelangen. Der Angreifer operiert hierbei von einer Broadcast-Domain aus, die entweder mit dem Client oder dem RDP-Server geteilt wird.

Dabei verwenden einige Angreifer ein Python-basiertes Tool namens Seth, um mittels ARP-Spoofing den Datenverkehr über einen RDP-Proxy umzuleiten. Das ermöglicht es, die Verschlüsselungsqualität der Verbindung herabzusetzen und Anmeldeinformationen im Klartext zu extrahieren. Neben dem Einsatz von Ransomware und Backdoor-Installationen ist es Angreifern möglich, sich mittels RDP in der gesamten fremden Netzwerkumgebung zu bewegen. In einigen Fällen führt es zum Ziel, RDP-Verbindungen über ein anderes Protokoll wie SSH zu tunneln, um Firewalls und andere Grenzschutzmaßnahmen zu umgehen.

Großangelegte Angriffe

Die folgenden drei Beispiele zeigen, dass diese Taktik weltweit im großen Stil umgesetzt wird und teilweise auf staatliche oder staatlich geförderte Angreifer zurückgeführt werden kann.

APT40 – ein staatlich geförderter chinesischer Akteur

APT40 führt mindestens seit 2013 Operationen zur Unterstützung der Modernisierungsbemühungen der chinesischen Marine durch. Die Gruppe verwendet kompromittierte Zugangsdaten, um sich an anderen verbundenen Systemen anzumelden und Auskundschaftungen durchzuführen. Die Gruppe nutzt neben RDP auch das Secure-Shell-Protokoll (SSH), legitime Software in der Opferumgebung, eine Reihe nativer Windowsfunktionen, öffentlich verfügbare Tools sowie spezifische Scripts, um das interne Auskundschaften zu erleichtern.

So hat die APT40-Gruppe – getarnt als Hersteller unbemannter Unterwasserfahrzeuge – bereits Universitäten ins Visier genommen, die sich mit Marineforschung beschäftigen. Die Gruppe richtet ihre Aktivitäten auch auf Länder, die in geopolitische Streitigkeiten im südchinesischen Meer involviert sind. Ein weiteres Angriffsziel sind Nationen, die China mit seiner eine Billion Dollar teuren „Trade Network“-Initiative (bekannt als „Belt and Road“) in ganz Asien, Europa und dem Mittleren Osten zu beeinflussen versucht.

APT39 – eine iranische Cyberspionagegruppe

 Die Cyberspionage-Gruppe APT39 führt seit längerer Zeit eine umfangreiche Kampagne mit einer breiten Palette von benutzerdefinierten und gängigen Tools durch. APT39 konzentrierte sich dabei bislang auf personenbezogene Daten, um Überwachungs- oder Verfolgungsmaßnahmen zu unterstützen, die nationalen Prioritäten des Iran dienen. Ziel der Angreifer ist es wohl auch, zusätzliche Zugänge und Vektoren zu schaffen, die zukünftige Kampagnen erleichtern.

Die Gruppe, die seit 2014 besteht, konzentrierte ihre Aktivitäten bislang auf den Mittleren Osten; es wurden aber auch Unternehmen in Europa, Südkorea und den USA ins Visier genommen. Die meisten Ziele gehören der Telekommunikations- und Reisebranche an, aber auch die Hightechindustrie und Regierungsbehörden waren bereits betroffen. APT39 setzt RDP ein, um sich in fremden Netzwerken seitlich vorzutasten (Lateral Movement) und längerfristig festzusetzen. Diese Vorgehensweise deutet auf eine neue Qualität der Cyberspionage hin: Früher haben staatlich geförderte Akteure nur grundlegende Informationen gestohlen, aber jetzt bauen sie langfristige Spionagekampagnen auf, installieren Sensoren in sicheren Netzwerken und nutzen sie, wann immer möglich.

SamSam-Ransomware

 SamSam ist ein Computer-Hacking- und Erpressungs-Programm, von dem über 200 Organisationen – darunter kritische Infrastrukturen, Krankenhäuser und Regierungsbehörden – weltweit und vor allem in den USA fast drei Jahre lang betroffen waren. Nach Angaben des USJustizministeriums ergaunerten sich die Cyberangreifer rund 6 Mio. US-$ aus Lösegeldzahlungen und verursachten gleichzeitig über 30 Mio. US-$ Schaden als Folge der Angriffe. Einige der bemerkenswertesten Fälle betrafen Angriffe auf die Stadt Atlanta, die Stadt Newark, den Hafen von San Diego und das Kansas Heart Hospital.

Die Cyberangreifer nutzten RDP, um dauerhaften Zugriff auf die Netzwerke der Opfer zu erhalten. Nachdem sie sich Zugang zu einem Netzwerk verschafft hatten, eskalierten sie die Berechtigungen auf Administratorrechte, schleusten Malware auf dem Server ein und führten eine ausführbare Datei aus – ohne jegliche Aktivität oder Autorisierung seitens der Opfer. RDP ermöglichte es den Cyberangreifern, mit minimaler Erkennungswahrscheinlichkeit Opferumgebungen zu infizieren.

Die Analyse von Tools, die in den kompromittierten Netzwerken gefunden wurden, ergab, dass die Angreifer mehrere der gestohlenen RDP-Zugangsdaten von etablierten Marktplätzen im Darknet gekauft hatten. Eine Analyse der Zugriffsprotokolle der Opfer durch das FBI ergab, dass die SamSam-Akteure die Netzwerke bereits innerhalb weniger Stunden nach dem Kauf der Zugangsdaten infizierten. Bei der Sanierung ihrer Systeme fanden mehrere Opfer verdächtige Aktivitäten in ihren Netzwerken, die nichts mit SamSam zu tun hatten. Diese Aktivitäten sind ein möglicher Indikator dafür, dass weitere Zugangsdaten gestohlen, im Darknet verkauft und für andere illegale Aktivitäten verwendet wurden.

Flächendeckende Bedrohung

Dies sind nur drei Beispiele spektakulärer Cyberangriffe auf Basis von RDP – das weitverbreitete Fernwartungsprotokoll scheint aber derzeit generell besonders attraktiv für Cyberbösewichte zu sein. Das, wovor Sicherheitsexperten schon seit Längerem gewarnt haben, wächst sich nun zu einer flächendeckenden Bedrohung aus – die aktuelle Studie von Vectra [2] zeigt, dass ganze Branchen betroffen sind. Aufgrund der häufigen Verwendung des an sich sehr hilfreichen und „harmlosen“ Protokolls dürfte die Zahl der Angriffe, bei denen RDP von Angreifern missbraucht wird, auch zukünftig sehr hoch bleiben.

Cyberangreifer folgen typischerweise dem Weg des geringsten Widerstands, um ihre Ziele zu erreichen, und versuchen, bestehende Administrationstools wie RDP für ihre Zwecke zu nutzen. Meist geht es um Industriespionage oder staatlich/politisch motivierte Aktivitäten. Die Angreifer wollen in der Regel ein fremdes Netzwerk auskundschaften, sich seitlich zu wertvollen Datenbeständen vorarbeiten und schließlich Daten aus dem Netzwerk möglichst unauffällig herausschleusen. Die Allgegenwärtigkeit von RDP auf Windowssystemen und die häufige Verwendung durch Systemadministratoren machen es zum idealen Werkzeug für Angreifer, um bei der Ausführung ihrer Aktivitäten eine Erkennung zu vermeiden.

Mögliche Schutzmaßnahmen

Offensichtlich wäre der sicherste Weg, um einen Server zu schützen, die Deaktivierung von RDP, was jedoch in der Regel keine praktikable Option ist; RDP ist schließlich ein nützliches Fernwartungsprotokoll. Das Berkeley Information Security Office empfiehlt einige grundlegende Sicherheitsmaßnahmen und zusätzliche Best Practices, um sich vor RDP-Angriffen zu schützen [3].

  • Verwendung sicherer Passwörter: Vergeben Sie starke Passwörter für alle Konten mit RDP-Zugriff, bevor Sie Remote-Desktop-Services aktivieren
  • Software-Aktualisierung: Stellen Sie sicher, dass Sie die neuesten Versionen der Client- und Serversoftware verwenden, indem Sie automatische MicrosoftUpdates aktivieren und überprüfen, sodass bekannte RDP-Schwachstellen gepatcht sind.
  • Zugriffbeschränkungen mittels Firewalls: Verwenden Sie Firewallregeln, um den Zugriff auf RemoteDesktop-Listening-Ports einzuschränken (Standard ist TCP 3389). Die Verwendung eines RDP-Gateways wird dringend empfohlen, um den RDP-Zugang auf Desktops und Server zu beschränken.
  • Benutzerbeschränkungen: Standardmäßig können sich alle Administratoren am Remote-Desktop anmelden. Wenn Sie mehrere Administrator-Konten auf Ihrem Computer haben, sollten Sie den Fernzugriff nur auf die Konten beschränken, die ihn wirklich benötigen
  • Richtlinie zur Kontensperrung: Indem Sie ein Client-Konto nach einer bestimmten Anzahl von Fehleingaben sperren, verhindern Sie, dass Angreifer, die automatisierte Brute-Force-Tools zum Erraten von Passwörtern verwenden, Zugriff auf Ihr System erhalten.
  • Geänderter Listening-Port für Remote-Desktop: Dies hilft, den Remote-Desktop vor Angreifern zu verbergen, die das Netzwerk nach Computern durchsuchen, die mit dem Standard-Remote-Desktop-Port (TCP 3389) verbunden sind, und bietet einen effektiven Schutz vor RDP-Würmern wie Morto.
  • Verwendung von RDP-Gateways: Die Verwendung von RDP-Gateways wird dringend empfohlen, um den Zugriff auf Remote-Desktop-Ports streng zu beschränken und gleichzeitig Remote-Verbindungen über einen einzigen Gateway-Server zu unterstützen.
  • Tunneling von Remote-Desktop-Verbindungen über IPSec oder SSH: Wenn die Verwendung eines RDPGateways nicht möglich ist, können Sie eine zusätzliche Authentifizierungs- und Verschlüsselungsschicht hinzufügen, indem Sie Ihre Remote-Desktop-Sitzungen über IPSec oder SSH tunneln.
  • Verwendung vorhandener Verwaltungstools für die RDP-Protokollierung und -Konfiguration: Mit RDP werden Anmeldungen auf das lokale Sicherheitsprotokoll und oft auch auf das Auditsystem des Domain-Controllers überprüft. Wenn Sie lokale Sicherheitsprotokolle überwachen, suchen Sie nach Anomalien in RDP-Sitzungen, beispielsweise Anmeldeversuche über das lokale Administratorkonto. RDP hat auch den Vorteil eines zentralen Managementansatzes via Group-Policy-Object (GPO).
  • Verwendung von Multi-Faktor-Authentifizierung auf hochsensiblen Systemen: Abteilungen mit sensiblen Daten sollten die Verwendung eines Zwei-Faktor-Authentifizierungsansatzes in Betracht ziehen.

Fazit

RDP hat einen großen Nutzen für Administratoren – und auch Benutzer wollen häufig einen Fernzugriff auf ihre Computer. Es ist daher häufig unpraktisch, die RDP-Nutzung oder entsprechende Verbindungen vollständig zu sperren oder zu blockieren. Wenn ein Administrator auf RDP angewiesen ist, damit bestimmte Server ordnungsgemäß funktionieren, führt oft kein Weg daran vorbei, es weiterhin zu nutzen.

Daher ist es von größter Bedeutung, in der Lage zu sein, eine böswillige Nutzung von RDP zu erkennen und darauf zu reagieren. Solche Angriffe versuchen möglicherweise nicht, bekannte Schwachstellen zu nutzen, sondern beruhen auf der Verwendung von illegal erworbenen legitimen Zugangsdaten. Präventionsmaßnahmen sind sinnvoll, verhindern aber letztlich nicht immer, dass versierte Angreifer einen Weg finden, RDP für ihre eigenen Zwecke zu missbrauchen.

Klassische Sicherheitskontrollen sind hier nicht hilfreich – ein zeitnaher, effektiver Schutz kann durch eine KI-basierte Plattform zur Erkennung und Reaktion auf Bedrohungen auf Netzwerkebene gewährleistet werden. Solche Lösungen sind konzipiert, um NetzwerkMetadaten mit dem richtigen Kontext zu sammeln, sie mit zusätzlichen Bedrohungsdaten anzureichern und für weitere KI-basierte Analysen zu speichern. Auf diese Weise ist es möglich, Angriffe zu erkennen, zu verfolgen und zu analysieren, die eine frühzeitige Auskundschaftung von RDP-Systemen und einen späteren Missbrauch in Echtzeit durchführen. Flexible Skalierbarkeit ist dabei die Voraussetzung für die vollständige Abdeckung großer, verteilter Netzwerkumgebungen. Werden solche automatisierten Erkennungsfunktionen mit guten Sicherheitsaufrufen kombiniert, haben selbst versierte Cyberangreifer wenig Chancen, ihre bösen Aktivitäten zu verbergen.

Andreas Müller ist Regional Director DACH bei Vectra Networks.

Literatur
[1] Microsoft, Remote Desktop Protocol, Windows Dev Center, Mai 2018, https://docs.microsoft.com/de-de/windows/win32/termserv/remote-desktop-protocol
[2] Vectra, An inside look at RDP cyberattacker behaviors and targeted industries, 2019 Spotlight Report, kostenlos bestellbar via www.vectra.ai/download/2019-spotlightreport-on-rdp (Registrierung erforderlich)
[3] Berkeley Information Security Office, Securing Remote Desktop (RDP) for System Administrators, Best Practice, https://security.berkeley.edu/education-awareness/bestpractices-how-tos/system-application-security/securingremote-desktop-rdp

Diesen Beitrag teilen: