RDP auf dem Radar: Ein genauer Blick auf die sich entwickelnden Bedrohungen für den Fernzugriff

Als sich die COVID-19-Pandemie weltweit ausbreitete, wandten sich viele von uns, mich eingeschlossen, der Vollzeitarbeit von zu Hause aus zu. Viele der ESET-Mitarbeiter waren es bereits gewohnt, zeitweise remote zu arbeiten, und es ging hauptsächlich darum, die vorhandenen Ressourcen zu erweitern, um den Zustrom neuer Remote-Mitarbeiter zu bewältigen, z. B. den Kauf einiger weiterer Laptops und VPN-Lizenzen.

Das Gleiche gilt jedoch nicht für viele Unternehmen auf der ganzen Welt, die entweder den Zugriff für ihre Remote-Mitarbeiter von Grund auf neu einrichten oder zumindest ihre Remote Desktop Protocol (RDP)-Server erheblich vergrößern mussten, um den Remote-Zugriff für viele nutzbar zu machen gleichzeitige Benutzer.

Um diesen IT-Abteilungen zu helfen, insbesondere denjenigen, für die Remote-Mitarbeiter etwas Neues waren, habe ich mit unserer Inhaltsabteilung zusammengearbeitet, um ein Papier zu erstellen, in dem die Arten von Angriffen, die ESET beobachtete und die speziell auf RDP abzielten, und einige grundlegende Schritte zum Schutz vor ihnen erörtert wurden . Dieses Papier kann gefunden werden hier im Unternehmensblog von ESET, falls Sie neugierig sind.

Ungefähr zur gleichen Zeit, als diese Änderung stattfand, führte ESET unsere globale Bedrohungsberichte, und eines der Dinge, die wir bemerkten, war, dass RDP-Angriffe weiter zunahmen. Nach unserem Bedrohungsbericht für die ersten vier Monate des Jahres 2022über 100 Billion solche Angriffe wurden versucht, von denen mehr als die Hälfte auf russische IP-Adressblöcke zurückgeführt wurden.

Es bestand eindeutig die Notwendigkeit, sich die RDP-Exploits, die in den letzten Jahren entwickelt wurden, und die Angriffe, die sie ermöglichten, noch einmal anzusehen, um zu berichten, was ESET durch seine Bedrohungsinformationen und Telemetrie erkannt hat. Genau das haben wir getan: eine neue Version unseres Papiers für 2020, jetzt mit dem Titel Remote Desktop Protocol: Konfigurieren des Fernzugriffs für eine sichere Belegschaft, wurde veröffentlicht, um diese Informationen zu teilen.

Was ist mit RDP passiert?

Im ersten Teil dieses überarbeiteten Papiers betrachten wir, wie sich Angriffe in den letzten Jahren entwickelt haben. Eine Sache, die ich mitteilen möchte, ist, dass nicht jeder Angriff zugenommen hat. Bei einer Art von Schwachstelle verzeichnete ESET einen deutlichen Rückgang der Ausnutzungsversuche:

• Erkennungen des BlueKeep (CVE-2019-0708)-Wurm-Exploits in Remotedesktopdiensten sind seit ihrem Höchststand im Jahr 44 um 2020 % zurückgegangen. Wir führen diesen Rückgang auf eine Kombination aus Patch-Praktiken für betroffene Windows-Versionen plus Exploit-Schutz am Netzwerkperimeter zurück.

Eine der oft gehörten Beschwerden über Computersicherheitsunternehmen ist, dass sie zu viel Zeit damit verbringen, darüber zu reden, dass die Sicherheit immer schlechter wird und sich nicht verbessert, und dass gute Nachrichten selten und vorübergehend sind. Ein Teil dieser Kritik ist berechtigt, aber Sicherheit ist immer ein fortlaufender Prozess: Es entstehen ständig neue Bedrohungen. In diesem Fall scheint es eine gute Nachricht zu sein, dass Versuche, eine Schwachstelle wie BlueKeep auszunutzen, im Laufe der Zeit abnehmen. RDP ist nach wie vor weit verbreitet, und das bedeutet, dass Angreifer weiterhin nach Schwachstellen forschen werden, die sie ausnutzen können.

Damit eine Klasse von Exploits verschwindet, muss alles, was für sie anfällig ist, nicht mehr verwendet werden. Das letzte Mal, dass ich mich an eine so weit verbreitete Änderung erinnere, war, als Microsoft Windows 7 im Jahr 2009 veröffentlichte. Windows 7 wurde mit deaktivierter Unterstützung für AutoRun (AUTORUN.INF) geliefert. Microsoft hat diese Änderung dann auf alle früheren Windows-Versionen zurückportiert, wenn auch nicht perfekt Erstmals. AutoRun, eine Funktion seit der Veröffentlichung von Windows 95 im Jahr 1995, wurde stark missbraucht, um Würmer wie z Conficker. Zu einem bestimmten Zeitpunkt machten AUTORUN.INF-basierte Würmer fast ein Viertel der Bedrohungen aus, denen ESET-Software begegnete. Heute machen sie unter a aus Zehntel Prozent von Erkennungen.

Im Gegensatz zu AutoPlay bleibt RDP eine regelmäßig genutzte Funktion von Windows, und nur weil die Nutzung eines einzelnen Exploits abnimmt, bedeutet das nicht, dass die Angriffe darauf insgesamt zurückgehen. Tatsächlich haben Angriffe auf seine Schwachstellen massiv zugenommen, was eine weitere Möglichkeit für den Rückgang der BlueKeep-Erkennungen aufwirft: Andere RDP-Exploits könnten so viel effektiver sein, dass Angreifer auf sie umgestiegen sind.

Ein Blick auf die Daten von zwei Jahren von Anfang 2020 bis Ende 2021 scheint dieser Einschätzung zuzustimmen. Während dieser Zeit zeigt die ESET-Telemetrie einen massiven Anstieg böswilliger RDP-Verbindungsversuche. Wie groß war der Sprung? Im ersten Quartal 2020 verzeichneten wir 1.97 Milliarden Verbindungsversuche. Bis zum vierten Quartal 2021 waren es 166.37 Milliarden Verbindungsversuche, eine Steigerung von über 8,400 %!

Offensichtlich finden Angreifer Wert darin, sich mit den Computern von Unternehmen zu verbinden, sei es für die Durchführung von Spionage, das Einschleusen von Ransomware oder andere kriminelle Handlungen. Aber es ist auch möglich, sich gegen diese Angriffe zu wehren.

Der zweite Teil des überarbeiteten Papiers enthält aktualisierte Leitlinien zum Schutz vor Angriffen auf RDP. Während sich diese Ratschläge eher an IT-Experten richten, die möglicherweise nicht daran gewöhnt sind, ihr Netzwerk zu härten, enthält sie Informationen, die sogar für erfahrenere Mitarbeiter hilfreich sein können.

Neue Daten zu SMB-Angriffen

Mit den Daten zu RDP-Angriffen wurde unerwartet Telemetrie von versuchten SMB-Angriffen (Server Message Block) hinzugefügt. Angesichts dieses zusätzlichen Bonus konnte ich nicht umhin, mir die Daten anzusehen, und fand sie vollständig und interessant genug, dass ein neuer Abschnitt über SMB-Angriffe und deren Abwehr dem Papier hinzugefügt werden könnte.

SMB kann als Begleitprotokoll zu RDP betrachtet werden, da es den Fernzugriff auf Dateien, Drucker und andere Netzwerkressourcen während einer RDP-Sitzung ermöglicht. 2017 wurde das EternalBlue (CVE-2017-0144) Wurm-Exploit. Die Nutzung des Exploits nahm weiter zu 2018, 2019und in 2020, laut ESET-Telemetrie.

Die von EternalBlue ausgenutzte Schwachstelle ist nur in SMBv1 vorhanden, einer Version des Protokolls aus den 1990er Jahren. SMBv1 war jedoch jahrzehntelang in Betriebssystemen und vernetzten Geräten weit verbreitet, und erst 2017 begann Microsoft mit der Auslieferung von Windows-Versionen mit standardmäßig deaktiviertem SMBv1.

Ende 2020 und bis 2021 verzeichnete ESET einen deutlichen Rückgang der Versuche, die EternalBlue-Schwachstelle auszunutzen. Wie bei BlueKeep führt ESET diese Verringerung der Erkennungen auf Patching-Praktiken, verbesserten Schutz am Netzwerkperimeter und eine geringere Nutzung von SMBv1 zurück.

Abschließende Gedanken

Es ist wichtig zu beachten, dass diese Informationen in diesem überarbeiteten Dokument aus der Telemetrie von ESET gewonnen wurden. Jedes Mal, wenn man mit Bedrohungstelemetriedaten arbeitet, gibt es bestimmte Vorbehalte, die bei der Interpretation angewendet werden müssen:

1. Das Teilen von Bedrohungstelemetrie mit ESET ist optional; Wenn sich ein Kunde nicht mit dem LiveGrid®-System von ESET verbindet oder anonymisierte statistische Daten mit ESET teilt, haben wir keine Daten darüber, was bei der Installation der ESET-Software aufgetreten ist.
2. Die Erkennung böswilliger RDP- und SMB-Aktivitäten erfolgt über mehrere Schutzebenen von ESET Technologieneinschließlich Botnet-Schutz, Schutz vor Brute-Force-Angriffen, Schutz vor Netzwerkangriffen, und so weiter. Nicht alle Programme von ESET verfügen über diese Schutzebenen. Beispielsweise bietet ESET NOD32 Antivirus einen grundlegenden Schutz vor Malware für Heimanwender und verfügt nicht über diese Schutzschichten. Sie sind in ESET Internet Security und ESET Smart Security Premium sowie in den Endpunktschutzprogrammen von ESET für Geschäftsanwender enthalten.
3. Obwohl es bei der Erstellung dieses Dokuments nicht verwendet wurde, liefern ESET-Bedrohungsberichte geografische Daten bis hinunter auf die Regions- oder Länderebene. Die GeoIP-Erkennung ist eine Mischung aus Wissenschaft und Kunst, und Faktoren wie die Verwendung von VPNs und der sich schnell ändernde Besitz von IPv4-Blöcken können sich auf die Standortgenauigkeit auswirken.
4. Ebenso ist ESET einer der vielen Verteidiger in diesem Bereich. Telemetrie sagt uns, welche Installationen der ESET-Software verhindert werden, aber ESET hat keinen Einblick, was Kunden anderer Sicherheitsprodukte erleben.

Aufgrund dieser Faktoren wird die absolute Anzahl der Angriffe höher sein als das, was wir aus der ESET-Telemetrie lernen können. Wir glauben jedoch, dass unsere Telemetrie eine genaue Darstellung der Gesamtsituation darstellt; Die prozentuale Gesamtzunahme und -abnahme der Erkennungen verschiedener Angriffe sowie die von ESET festgestellten Angriffstrends dürften in der gesamten Sicherheitsbranche ähnlich sein.

Besonderer Dank gilt meinen Kollegen Bruce P. Burrell, Jakub Filip, Tomáš Foltýn, Rene Holt, Előd Kironský, Ondrej Kubovič, Gabrielle Ladouceur-Despins, Zuzana Pardubská, Linda Skrúcaná und Peter Stančík für ihre Unterstützung bei der Überarbeitung dieses Papiers.

Aryeh Goretsky, ZCSE, rMVP
Ausgezeichneter Forscher, ESET