Profit_Image – shutterstock.com
Forscher des Security-Anbieters GreyNoise entdeckten kürzlich eine massive Angriffswelle, die von mehr als 100.000 IP-Adressen in mehr als 100 Ländern ausging. Die Analysten gehen davon aus, dass die Angriffe auf ein einzelnes, groß angelegtes Botnet zurückgeht. Laut Forschungsbericht haben es die Täter hinter der Kampagne hauptsächlich auf die RDP-Infrastruktur (Remote Desktop Protocol) der Vereinigten Staaten abgesehen.
Zwei Angriffsvektoren
Den Sicherheitsspezialisten zufolge kamen dabei zwei spezielle Angriffsarten zum Einsatz, um anfällige Systeme zu identifizieren und zu kompromittieren. Die erste ist ein RD-Web-Access-Timing-Angriff. Bei dieser Methode messen Angreifer die Reaktionszeit des Servers auf Anmeldeversuche, um anonym gültige und ungültige Benutzernamen herauszufinden.
Die zweite Angriffsvariante ist eine RDP Web Client Login Enumeration. Dabei wird systematisch versucht, die Anmeldeinformationen von Benutzern zu erraten. Beide Methoden ermöglichen es dem Botnet, effizient nach ausnutzbaren RDP-Zugriffspunkten zu suchen, ohne sofort Standard-Sicherheitswarnungen auszulösen.
Schutzmaßnahmen
GreyNoise empfiehlt Organisationen, ihre Sicherheitsprotokolle proaktiv auf ungewöhnliche RDP-Zugriffe oder fehlgeschlagene Anmeldeversuche zu überprüfen. Zudem hat das Sicherheitsunternehmen eine dynamische Blocklistenvorlage mit dem Namen „microsoft-rdp-botnet-oct-25“ erstellt, die über seine Plattform verfügbar ist.
Auf diese Weise können Anwender automatisch alle bekannten IP-Adressen blockieren, die mit dem Botnet in Verbindung stehen. Dadurch sollen Angriffe am Netzwerkrand effektiv unterbunden werden.
The original article found on Hacker nutzen 100.000 IP-Adressen für RDP-Angriffe | CSO Online Read More
_Stefan_Sutka_Alamy.jpg?width=1280&auto=webp&quality=80&disable=upscale)
