Categories: Sicherheit

GoldBrute: Botnet-Angriff auf Millionen von RDP-Servern

Der Sicherheitsforscher Renato Marinho von Morphus Labs hat das mit GoldBrute bezeichnete Botnet entdeckt. Es greift Windows-PCs an, auf denen eine RDP-Verbindung (Remote Desktop Protocol) läuft, die dem Internet ausgesetzt ist. Laut seiner Analyse werden derzeit über 1,5 Millionen RDP-Endpunkte angegriffen. Er geht davon aus, dass diese Zahl in den nächsten Tagen weiter anwächst.

Das Botnet mit dem Namen GoldBrute funktioniert wie folgt:

  • Brute-Force-Angriff und Zugriff auf ein Windows-System über RDP.
  • Laden einer ZIP-Datei mit dem GoldBrute-Malware-Code.
  • Anschließend werden neue RDP-Endpunkte im Internet abgescannt, die nicht Teil der GoldBrute-Hauptliste der RDP-Endpunkte sind.
  • Nachdem die Malware 80 neue RDP-Endpunkte gefunden hat, sendet es die Liste der IP-Adressen an seinen Remote-Befehls- und Steuerserver.
  • Der infizierter Host erhält eine Liste von IP-Adressen für Brute-Force-Attacken. Für jede IP-Adresse gibt es nur einen Benutzernamen und ein Passwort, mit denen der Bot versuchen muss, sich zu authentifizieren. Jeder GoldBrute-Bot erhält eine andere Kombination aus Benutzername und Passwort.
  • Bot führt Brute-Force-Angriffe durch und meldet die Ergebnisse an den C&C-Server zurück.

Derzeit ist unklar, wie groß das GoldBrute-Botnet wirklich ist. Allerdings ist die Liste der „brutable“ RDP-Ziele des Botnets in den letzten Tagen immer größer geworden, da es neue RDP-Endpunkte fand, gegen die es Angriffe starten konnte. Dieses Wachstum der GoldBrute-Masterliste von RDP-Zielen deutet auch auf eine Zunahme der Basis von infizierten Geräten hin.

Die schlechte Nachricht für Unternehmen und Benutzer, die RDP-Endpunkte im Internet betreiben, ist, dass das Botnet schwer zu erkennen und zu stoppen ist. Dies liegt daran, dass jedes von GoldBrute infizierte System nur einen Passwort-Rateversuch pro Opfer startet und somit verhindert, dass Sicherheitssysteme mit einem integrierte die einen Brute-Force-Schutz nicht aktiv werden, da sie den Angriff nicht erkennen.

Die Entdeckung des GoldBrute-Botnetzes zeigt, dass Brute-Force-Angriffe derzeit die größte Bedrohung für RDP-Systeme bleiben. Trotz all der Panik um die kritische RDP-Sicherheitslücke BlueKeep gehen Sicherheitsforscher davon aus, dass die meisten RDP-Angriffe über klassische Brute-Force-Attacken ausgeführt werden.

Laut den heute von der Cyber-Bedrohungsforschungsfirma Bad Packets veröffentlichten Statistiken machen RDP-Scans nach der BlueKeep-Schwachstelle nur 3,4 Prozent des gesamten bösartigen RDP-Verkehrs der letzten Woche aus. Andererseits liegt der Anteil von RDP-Brute-Force-Angriffen und Versuche, ältere RDP-Schwachstellen auszunutzen, bei 96,6 Prozent.

„Die Botnet-Aktivität von GoldBrute deutet darauf hin, dass Cyberkriminelle immer noch klassische Techniken des Brute-Force anwenden, anstatt BlueKeep auszunutzen, um RDP-Endpunkte zu erreichen“, sagte Troy Mursch, Gründer von Bad Packets. Nur weil Hacker noch keine Möglichkeit gefunden haben, die BlueKeep-Schwachstelle auszunutzen, bedeutet das natürlich nicht, dass Unternehmen das Patchen verzögern können. Im Gegenteil, sowohl Microsoft als auch die NSA haben drastische Warnungen herausgegeben, die die Benutzer auffordern, Sicherheitsupdates so schnell wie möglich zu installieren.

Neben dem Einsatz von Microsoft-Patches empfahl die Behörde den betroffenen Unternehmen, auch zusätzliche Sicherheitsmaßnahmen gegen RDP-Angriffe zu ergreifen. Dazu zählen:

  • TCP-Port 3389 in Firewall blockieren, insbesondere an allen Firewalls, die mit dem Internet verbunden sind. Dieser Port wird im RDP-Protokoll verwendet und blockiert Versuche, eine Verbindung herzustellen.
  • Authentifizierung auf Netzwerkebene aktivieren: Diese Sicherheitsverbesserung erfordert, dass Angreifer über gültige Anmeldeinformationen verfügen müssen, um eine Remote-Codeauthentifizierung durchzuführen.
  • Deaktivieren von Remote Desktop Services, wenn sie nicht benötigt werden: Die Deaktivierung nicht genutzter und nicht benötigter Dienste trägt dazu bei, die Gefährdung durch Sicherheitsschwachstellen insgesamt zu verringern und ist eine bewährte Vorgehensweise auch ohne die BlueKeep-Bedrohung.
Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

LineageOS: Android 10 für Nexus 5

Mit einer inoffiziellen Variante von LineageOS 17.1 kommt Android 10 inklusive neuester Sicherheitspatches auf das Google-Smartphone. Obwohl das 2013 erschienene…

5 Stunden ago

Bericht: Produktion von Apples neuem „Billig“-iPhone beginnt im Februar

Die Fertigung übernehmen Hon Hai, Pegatron und Wistron. Der Nachfolger des iPhone SE basiert offenbar auf dem iPhone 8, in…

7 Stunden ago

IBM übertrifft die Erwartungen im vierten Quartal

Die Einnahmen stagnieren bei 21,78 Milliarden Dollar. Der Nettogewinn klettert jedoch um 88 Prozent auf 3,7 Milliarden Dollar. IBM stellt…

9 Stunden ago

Saudischer Kronprinz hackt angeblich Smartphone von Amazon-CEO Jeff Bezos

Wahrscheinlich kompromittiert eine schädliche Video-Datei das Smartphone des Amazon-Chefs. Die Datei erhält Bezos vom persönlichen WhatsApp-Konto des Kronprinzen. Die Botschaft…

11 Stunden ago

Studie: 14 Prozent der Android-Apps mit widersprüchlichen Datenschutzrichtlinien

Forscher untersuchen insgesamt 11.430 Apps im Play Store. In den meisten Fällen unterstellen sie Vorsatz. Nur bei 260 von 510…

13 Stunden ago

Windows EFS: Sicherheitsanbieter verbessern Schutz vor Ransomware-Angriffen

Forscher entwickeln einen Angriff, der das verschlüsselte Windows-Dateisystem ausnutzt. Er lässt sich allerdings auch mit Windows-Bordmitteln aufhalten. Trotzdem stellen Anbieter…

15 Stunden ago