Unsichere Passwörter erleichtern RDP und SSH Attacken

Die beiden Protokolle – Remote Desktop Protocol (RDP) und Secure Shell (SSH) – werden häufig für die Verwaltung virtueller Maschinen in der Cloud verwendet. Angesichts der wachsenden Beliebtheit von Cloud-Implementierungen und Remote-Arbeiten ist es laut den Forschern von Rapid7 wichtig zu wissen, wie opportunistische Angreifer auf diese Systeme abzielen.

Rapid7 fand heraus, dass die drei beliebtesten Benutzernamen für RDP „administrator“, „user“ und „admin“ sind. RDP ist ein Hauptziel für Ransomware-Angreifer.

Die drei beliebtesten Benutzernamen für SSH sind „root“, „admin“ und „nproc“, so der Password Research Report. Andere beliebte Passwörter für SSH und RDP sind „admin“, „password“ und „123456“.

Zur Durchführung der Studie untersuchte Rapid7 die Anmeldeinformationen, die von Online-Angreifern verwendet wurden, um das Netzwerk von RDP- und SSH-Honeypots im Jahr bis zum 9. September 2022 zu kompromittieren.

Diese Honeypots sind Teil des Project Heisenberg des Unternehmens, das es Bot- und menschlichen Angreifern ermöglicht, Verbindungen zu seinem Netzwerk herzustellen. In diesem Zeitraum wurden mehrere zehn Millionen Verbindungsversuche zu den Honeypots und eine halbe Million eindeutiger Passwörter beobachtet.

Anschließend verglich das Unternehmen seinen Honeypot-Datensatz mit der „rockyou“-Passwortliste, die acht Milliarden Benutzernamen und Passwörter enthält, die von Pen-Testern und Angreifern verwendet werden. Diese Listen sind nützlich für Passwort-Spraying-Angriffe, bei denen der Angreifer die Liste gegen viele Konten verwendet, bei denen der Benutzername bekannt ist, sowie für andere Brute-Force-Angriffe. Rapid7 fand heraus, dass die Passwörter, die für den Zugriff auf seine Honeypots verwendet wurden, fast perfekt mit dem Rockyou-Set übereinstimmten.

„Wir haben festgestellt, dass von den fast 500.000 einzigartigen Passwörtern, die in unseren Honeypots beobachtet wurden, praktisch alle (99,997 %) in diesem „rockyou-Set“ enthalten waren. Daraus schließen wir, dass Online-Angreifer keine wirklich zufälligen Passwörter generieren, sondern stattdessen ausschließlich mit Listen erratbarer Passwörter arbeiten.

Die Honeypot-Daten zeigen auch, dass die von Angreifern verwendeten Passwörter im Großen und Ganzen die beliebtesten sind, wie „admin“, „password“ und „123456“.

Rapid7 glaubt, dass die Angreifer opportunistisch eine kleine Handvoll von Benutzernamen und Passwörtern ausprobieren und dann weiterziehen. Außerdem wird häufig eine einzige IP-Adresse beobachtet, die einen einzigen Benutzernamen und ein einziges Passwort ausprobiert, wie z. B. „root:root“ oder „admin:admin“, was darauf hindeutet, dass es sich um einen automatisierten Prozess und möglicherweise ein Botnet handelt.

Rapid7 fand heraus, dass die Verteilung von Benutzernamen und Passwörtern „annähernd exponentiell“ ist, was bedeutet, dass Passwörter, die häufiger beobachtet werden, exponentiell häufiger vorkommen als seltenere Passwörter.

Die häufigsten Benutzernamen, die von Angreifern für RDP verwendet werden, sind „Administrator“ und „administrator“. Dies ist wahrscheinlich darauf zurückzuführen, dass RDP in der Regel unter Windows ausgeführt wird und dass das Standard-Administratorkonto „Administrator“ heißt.

Bei SSH sind die beiden auffälligsten Benutzernamen „root“ und „admin“, die Angreifer wählen, weil die meisten Linux-Distributionen mit einem Benutzer namens „root“ ausgeliefert werden, während „admin“ ein gängiger Standardbenutzername bei Routern und IoT-Geräten ist. Dies ist der Grund, warum IoT-Malware wie Mirai versucht, sich mit den Standard-Anmeldeinformationen des Geräts zu authentifizieren. Das ist auch der Grund, warum die NSA Administratoren empfiehlt, die Standard-Anmeldedaten auf Netzwerkgeräten zu ändern.

Die SSH-Honeypots von Rapid7 haben 497.848 Passwörter aufgefangen. Die beiden mit Abstand häufigsten Versuche waren „123456“ und „password“. Als Rapid7 den rockyou-Datensatz aus der Liste der in seinen Honeypots gesichteten Passwörter entfernte, blieben nur noch 14 übrig.

Rapid7 rät vor allem dazu, die Standard-Anmeldedaten zu ändern und lokale Administrator- und Gastkonten zu deaktivieren, wenn dies möglich ist. Dies wird zwar keine gezielten Angriffe verhindern, aber es wird opportunistische Angriffe abwehren. Verwenden Sie außerdem einen Passwort-Manager.

Um RDP und SSH zu schützen, sollten Unternehmen ein Unternehmens-VPN verwenden und die Remote-Verbindungen so einschränken, dass sie nur über VPN-authentifizierte Hosts funktionieren. Um die meisten Brute-Force-Angriffe zu verhindern, könnte es sich auch lohnen, die Ports zu ändern, obwohl das Unternehmen anmerkt, dass diese Maßnahme unter „Sicherheit durch Unklarheit“ fällt.

„Bei RDP besteht der beste Schutz darin, den Zugriff über Firewalls und Netzwerksicherheitsgruppen einzuschränken, so dass nur von vertrauenswürdigen IP-Adressen aus auf Instanzen mit RDP zugegriffen werden kann. Die Verwendung eines Jump-Hosts oder eines Bastion-Hosts für Cloud-Bereitstellungen ist ebenfalls eine gute Praxis, um RDP nicht direkt dem Internet auszusetzen“, heißt es.

Bei der Absicherung von SSH ist die wichtigste Sicherheitsmaßnahme, die Sie ergreifen können, die Deaktivierung der passwortbasierten Authentifizierung zugunsten der zertifikatsbasierten Authentifizierung. Es wird auch dringend empfohlen, die Anzahl der Benutzer, die SSH aktiviert haben, zu begrenzen, indem Sie Ihre sshd_config-Datei ändern, so Rapid7. Es ist auch generell eine gute Idee, SSH für alle Root-Konten zu deaktivieren und die maximale Anzahl der Anmeldeversuche zu ändern.