Categories: Sicherheit

GoldBrute: Botnet-Angriff auf Millionen von RDP-Servern

Der Sicherheitsforscher Renato Marinho von Morphus Labs hat das mit GoldBrute bezeichnete Botnet entdeckt. Es greift Windows-PCs an, auf denen eine RDP-Verbindung (Remote Desktop Protocol) läuft, die dem Internet ausgesetzt ist. Laut seiner Analyse werden derzeit über 1,5 Millionen RDP-Endpunkte angegriffen. Er geht davon aus, dass diese Zahl in den nächsten Tagen weiter anwächst.

Das Botnet mit dem Namen GoldBrute funktioniert wie folgt:

  • Brute-Force-Angriff und Zugriff auf ein Windows-System über RDP.
  • Laden einer ZIP-Datei mit dem GoldBrute-Malware-Code.
  • Anschließend werden neue RDP-Endpunkte im Internet abgescannt, die nicht Teil der GoldBrute-Hauptliste der RDP-Endpunkte sind.
  • Nachdem die Malware 80 neue RDP-Endpunkte gefunden hat, sendet es die Liste der IP-Adressen an seinen Remote-Befehls- und Steuerserver.
  • Der infizierter Host erhält eine Liste von IP-Adressen für Brute-Force-Attacken. Für jede IP-Adresse gibt es nur einen Benutzernamen und ein Passwort, mit denen der Bot versuchen muss, sich zu authentifizieren. Jeder GoldBrute-Bot erhält eine andere Kombination aus Benutzername und Passwort.
  • Bot führt Brute-Force-Angriffe durch und meldet die Ergebnisse an den C&C-Server zurück.

Derzeit ist unklar, wie groß das GoldBrute-Botnet wirklich ist. Allerdings ist die Liste der „brutable“ RDP-Ziele des Botnets in den letzten Tagen immer größer geworden, da es neue RDP-Endpunkte fand, gegen die es Angriffe starten konnte. Dieses Wachstum der GoldBrute-Masterliste von RDP-Zielen deutet auch auf eine Zunahme der Basis von infizierten Geräten hin.

Die schlechte Nachricht für Unternehmen und Benutzer, die RDP-Endpunkte im Internet betreiben, ist, dass das Botnet schwer zu erkennen und zu stoppen ist. Dies liegt daran, dass jedes von GoldBrute infizierte System nur einen Passwort-Rateversuch pro Opfer startet und somit verhindert, dass Sicherheitssysteme mit einem integrierte die einen Brute-Force-Schutz nicht aktiv werden, da sie den Angriff nicht erkennen.

Die Entdeckung des GoldBrute-Botnetzes zeigt, dass Brute-Force-Angriffe derzeit die größte Bedrohung für RDP-Systeme bleiben. Trotz all der Panik um die kritische RDP-Sicherheitslücke BlueKeep gehen Sicherheitsforscher davon aus, dass die meisten RDP-Angriffe über klassische Brute-Force-Attacken ausgeführt werden.

Laut den heute von der Cyber-Bedrohungsforschungsfirma Bad Packets veröffentlichten Statistiken machen RDP-Scans nach der BlueKeep-Schwachstelle nur 3,4 Prozent des gesamten bösartigen RDP-Verkehrs der letzten Woche aus. Andererseits liegt der Anteil von RDP-Brute-Force-Angriffen und Versuche, ältere RDP-Schwachstellen auszunutzen, bei 96,6 Prozent.

„Die Botnet-Aktivität von GoldBrute deutet darauf hin, dass Cyberkriminelle immer noch klassische Techniken des Brute-Force anwenden, anstatt BlueKeep auszunutzen, um RDP-Endpunkte zu erreichen“, sagte Troy Mursch, Gründer von Bad Packets. Nur weil Hacker noch keine Möglichkeit gefunden haben, die BlueKeep-Schwachstelle auszunutzen, bedeutet das natürlich nicht, dass Unternehmen das Patchen verzögern können. Im Gegenteil, sowohl Microsoft als auch die NSA haben drastische Warnungen herausgegeben, die die Benutzer auffordern, Sicherheitsupdates so schnell wie möglich zu installieren.

Neben dem Einsatz von Microsoft-Patches empfahl die Behörde den betroffenen Unternehmen, auch zusätzliche Sicherheitsmaßnahmen gegen RDP-Angriffe zu ergreifen. Dazu zählen:

  • TCP-Port 3389 in Firewall blockieren, insbesondere an allen Firewalls, die mit dem Internet verbunden sind. Dieser Port wird im RDP-Protokoll verwendet und blockiert Versuche, eine Verbindung herzustellen.
  • Authentifizierung auf Netzwerkebene aktivieren: Diese Sicherheitsverbesserung erfordert, dass Angreifer über gültige Anmeldeinformationen verfügen müssen, um eine Remote-Codeauthentifizierung durchzuführen.
  • Deaktivieren von Remote Desktop Services, wenn sie nicht benötigt werden: Die Deaktivierung nicht genutzter und nicht benötigter Dienste trägt dazu bei, die Gefährdung durch Sicherheitsschwachstellen insgesamt zu verringern und ist eine bewährte Vorgehensweise auch ohne die BlueKeep-Bedrohung.
Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Vodafone und Deutsche Glasfaser kooperieren bei Glasfaserausbau für Privatkunden

Mit dem gemeinsamen Start erweitern beide Unternehmen ihre bestehende Zusammenarbeit beim Glasfaser-Ausbau für Unternehmen in Gewerbegebieten nun auf Privathaushalte in…

36 Minuten ago

Apple rechtfertigt heimliche Standortdatensammlung des iPhone 11

Sie wird für einen Dienst benötigt, der wiederum die AirDrop-Funktion verbessert. Dieser Ultra Wideband genannte Dienst ist jedoch nicht in…

3 Stunden ago

Anker PowerPort Atom III 60 Watt für 22 Euro

Das Anker PowerPort Atom III basiert auf Galliumnitrit und fällt dadurch gegenüber herkömmlichen Netzteilen deutlich kompakter aus. iPhone und iPad…

3 Stunden ago

Patentstreit: LG München verbietet Apps von Facebook, WhatsApp und Instagram

Sie verletzten Patente von Blackberry. Das Verbot gilt allerdings nur für die Apps in der derzeitig vorliegenden Form. Außerdem wird…

6 Stunden ago

Huawei befreit sich von US-Technik

Durch die US-Sanktionen kann der chinesische Mobilfunkkonzern nicht mehr auf Produkte aus den USA zurückgreifen. Dass man Smartphones und 5G-Equipment…

3 Tagen ago

Private Public Cloud mit AWS Outposts

Der bereits letztes Jahr angekündigte Dienst AWS Outposts ist nun allgemein verfügbar. Kunden können jetzt von AWS vollgemanagte Racks, welche…

3 Tagen ago