GoldBrute: Botnet-Angriff auf Millionen von RDP-Servern

Der Sicherheitsforscher Renato Marinho von Morphus Labs hat das mit GoldBrute bezeichnete Botnet entdeckt. Es greift Windows-PCs an, auf denen eine RDP-Verbindung (Remote Desktop Protocol) läuft, die dem Internet ausgesetzt ist. Laut seiner Analyse werden derzeit über 1,5 Millionen RDP-Endpunkte angegriffen. Er geht davon aus, dass diese Zahl in den nächsten Tagen weiter anwächst.

Das Botnet mit dem Namen GoldBrute funktioniert wie folgt:

• Brute-Force-Angriff und Zugriff auf ein Windows-System über RDP.
• Laden einer ZIP-Datei mit dem GoldBrute-Malware-Code.
• Anschließend werden neue RDP-Endpunkte im Internet abgescannt, die nicht Teil der GoldBrute-Hauptliste der RDP-Endpunkte sind.
• Nachdem die Malware 80 neue RDP-Endpunkte gefunden hat, sendet es die Liste der IP-Adressen an seinen Remote-Befehls- und Steuerserver.
• Der infizierter Host erhält eine Liste von IP-Adressen für Brute-Force-Attacken. Für jede IP-Adresse gibt es nur einen Benutzernamen und ein Passwort, mit denen der Bot versuchen muss, sich zu authentifizieren. Jeder GoldBrute-Bot erhält eine andere Kombination aus Benutzername und Passwort.
• Bot führt Brute-Force-Angriffe durch und meldet die Ergebnisse an den C&C-Server zurück.

Derzeit ist unklar, wie groß das GoldBrute-Botnet wirklich ist. Allerdings ist die Liste der „brutable“ RDP-Ziele des Botnets in den letzten Tagen immer größer geworden, da es neue RDP-Endpunkte fand, gegen die es Angriffe starten konnte. Dieses Wachstum der GoldBrute-Masterliste von RDP-Zielen deutet auch auf eine Zunahme der Basis von infizierten Geräten hin.

Die schlechte Nachricht für Unternehmen und Benutzer, die RDP-Endpunkte im Internet betreiben, ist, dass das Botnet schwer zu erkennen und zu stoppen ist. Dies liegt daran, dass jedes von GoldBrute infizierte System nur einen Passwort-Rateversuch pro Opfer startet und somit verhindert, dass Sicherheitssysteme mit einem integrierte die einen Brute-Force-Schutz nicht aktiv werden, da sie den Angriff nicht erkennen.

Die Entdeckung des GoldBrute-Botnetzes zeigt, dass Brute-Force-Angriffe derzeit die größte Bedrohung für RDP-Systeme bleiben. Trotz all der Panik um die kritische RDP-Sicherheitslücke BlueKeep gehen Sicherheitsforscher davon aus, dass die meisten RDP-Angriffe über klassische Brute-Force-Attacken ausgeführt werden.

Laut den heute von der Cyber-Bedrohungsforschungsfirma Bad Packets veröffentlichten Statistiken machen RDP-Scans nach der BlueKeep-Schwachstelle nur 3,4 Prozent des gesamten bösartigen RDP-Verkehrs der letzten Woche aus. Andererseits liegt der Anteil von RDP-Brute-Force-Angriffen und Versuche, ältere RDP-Schwachstellen auszunutzen, bei 96,6 Prozent.

„Die Botnet-Aktivität von GoldBrute deutet darauf hin, dass Cyberkriminelle immer noch klassische Techniken des Brute-Force anwenden, anstatt BlueKeep auszunutzen, um RDP-Endpunkte zu erreichen“, sagte Troy Mursch, Gründer von Bad Packets. Nur weil Hacker noch keine Möglichkeit gefunden haben, die BlueKeep-Schwachstelle auszunutzen, bedeutet das natürlich nicht, dass Unternehmen das Patchen verzögern können. Im Gegenteil, sowohl Microsoft als auch die NSA haben drastische Warnungen herausgegeben, die die Benutzer auffordern, Sicherheitsupdates so schnell wie möglich zu installieren.

Neben dem Einsatz von Microsoft-Patches empfahl die Behörde den betroffenen Unternehmen, auch zusätzliche Sicherheitsmaßnahmen gegen RDP-Angriffe zu ergreifen. Dazu zählen:

• TCP-Port 3389 in Firewall blockieren, insbesondere an allen Firewalls, die mit dem Internet verbunden sind. Dieser Port wird im RDP-Protokoll verwendet und blockiert Versuche, eine Verbindung herzustellen.
• Authentifizierung auf Netzwerkebene aktivieren: Diese Sicherheitsverbesserung erfordert, dass Angreifer über gültige Anmeldeinformationen verfügen müssen, um eine Remote-Codeauthentifizierung durchzuführen.
• Deaktivieren von Remote Desktop Services, wenn sie nicht benötigt werden: Die Deaktivierung nicht genutzter und nicht benötigter Dienste trägt dazu bei, die Gefährdung durch Sicherheitsschwachstellen insgesamt zu verringern und ist eine bewährte Vorgehensweise auch ohne die BlueKeep-Bedrohung.