So schützen Sie RDP vor Ransomware-Angriffen

Mitigating ransomware incidents as RDP-based attacks surge during COVID-19

In den letzten Monaten haben Unternehmen aller Branchen intensiv mit dem Remotedesktopprotokoll (RDP) gearbeitet, um ihr Geschäft auch unter Einhaltung der räumlichen Distanzierung aufrecht zu erhalten.

Dieser kurzfristige Wechsel zur Heimarbeit erwies sich jedoch auch als eine einzigartige Möglichkeit für Ransomware-Gruppen. Angreifer mutmaßten, dass viele Unternehmen nicht die Zeit oder Ressourcen haben würden, während dieses großen Umbruchs RDP in sicherer Form zu implementieren, was folglich zu Sicherheitslücken führen würde.

Und sie sollten Recht behalten. Laut einem Bericht von McAfee stieg die Anzahl der offenen RDP-Ports von 3 Millionen im Januar 2020 auf über 4,5 Millionen im März.

In diesem Artikel erläutern wir, weshalb Angreifer zum Verbreiten von Malware RDP verwenden, wie unsere Lösungen Anwender vor RDP-Brute-Force-Angriffen schützen und wie Sie sich am besten vor RDP-basierten Bedrohungen schützen können.

Was ist RDP?

RDP ist ein von Microsoft entwickeltes Netzwerkkommunikationsprotokoll. Es ist auf den meisten Windows-Betriebssystemen verfügbar und bietet eine graphische Benutzeroberfläche, über die Anwender per Fernzugriff auf einen Server oder einen anderen Computer zugreifen können. Über RDP wird die Anzeige des Remoteservers auf den Client-Computer übertragen und über die Eingabegeräte des Clients (wie Tastatur oder Maus) lässt sich der Remoteserver bedienen. Auf diese Weise können Anwender so an dem externen Computer arbeiten, als würden Sie davor sitzen.

RDP wird in der Regel in Geschäftsumgebungen eingesetzt, damit Endbenutzer von Außen auf Dateien und Anwendungen zugreifen können, die sich im lokalen Netzwerk des Unternehmens befinden. Administratoren setzen RDP auch häufig zur Ferndiagnose ein, um technische Probleme auf den Endgeräten zu lösen.

So setzen Angreifer RDP zur Platzierung von Malware ein

Innerhalb eines privaten Netzwerks gilt RDP im Allgemeinen als ein sicheres Tool. Werden RDP-Ports jedoch zum Internet hin geöffnet, kann das zu ernsten Problemen führen, da nun theoretisch jeder versuchen kann, sich mit dem Remoteserver zu verbinden. Sollte dieser Versuch erfolgreich sein, können Angreifer auf den Server zugreifen und frei innerhalb der Berechtigungen des gehackten Kontos agieren.

Dies ist keineswegs eine neue Bedrohung, aber der weltweite Wechsel zu Heimarbeit hat noch einmal unterstrichten, das viele Unternehmen RDP nicht angemessen absichern – und Angreifer nutzen diese Gelegenheit. Anfang März 2020 gab es in den USA täglich 200 000 RDP-Brute-Force-Angriffe, wie Kaspersky berichtet. Mitte April war die Zahl bereits auf unglaubliche 1,3 Millionen angestiegen. Heute gilt RDP als größter Angriffsvektor für Ransomware.

RDP kann auf unterschiedliche Wege ausgenutzt werden. Die von uns in letzter Zeit beobachteten Vorfälle setzen auf Systeme mit offenen RDP-Ports. Das Vorgehen sieht in der Regel wie folgt aus:

  1. Suche nach offenen RDP-Ports: Die Angreifer durchsuchen mithilfe kostenloser Scantools wie Shodan das Internet nach offenen RDP-Ports.
  2. Login-Versuch: Die Angreifer versuchen als nächstes, sich mithilfe gestohlener oder über den Schwarzmarkt gekaufter Zugangsdaten Zugriff auf das System zu verschaffen (normalerweise als Administrator). Besonders gängig sind auch Brute-Force-Tools, die zum Anmelden systematisch alle möglichen Zeichenkombinationen ausprobieren, bis der richtige Benutzername und das richtige Kennwort gefunden wurden.
  3. Deaktivieren von Sicherheitssystemen: Sobald sich die Angreifer Zugriff auf das System verschafft haben, versuchen sie, das Netzwerk so stark wie möglich zu schwächen. Je nach den Berechtigungen des gehackten Kontos kann das vom Deaktivieren der Antivirus-Software über das Löschen von Sicherungen bis hin zum Ändern von normalerweise gesperrten Konfigurationseinstellungen reichen.
  4. Ausliefern des Payloads: Nachdem die Sicherheitssysteme deaktiviert wurden und das Netzwerk geschwächt ist, wird der Payload ausgeliefert. Dazu kann das Installieren von Ransomware im Netzwerk, Einsetzen von Keyloggern, Verteilen von Spam über die gehackten Rechner, Stehlen vertraulicher Daten oder Installieren von Hintertüren für zukünftige Angriffe gehören.

So hilft Emsisoft beim Schutz vor RDP-basierten Angriffen

Im Juli 2020 haben wir eine neue Sicherheitsfunktion eingeführt, um unsere Anwender vor RDP-Angriffen zu schützen.

Unsere Lösungen für Privatanwender und Unternehmen überwachen nun den Status des RDP-Dienstes in Echtzeit. Werden mehrere fehlgeschlagene Anmeldeversuche erkannt, wird für Administratoren über Emsisoft Management Console eine Warnmeldung ausgegeben. Sie können dann entscheiden, ob sie den Dienst auf dem betroffenen Gerät besser deaktivieren.

Der Status des RDP-Dienstes kann über Emsisoft Management Console eingesehen werden, damit Administratoren auf einem Blick nachvollziehen können, ob RDP auf einem bestimmten Gerät aktiviert ist.

Beste Praktiken zum Absichern von RDP

RDP sollte immer deaktiviert sein, sofern es nicht erforderlich ist. Unternehmen, die RDP benötigen, können die folgenden Maßnahmen als beste Praktiken einsetzen, um RDP vor Brute-Force-Angriffen zu schützen.

  1. VPN verwenden: Wie bereits erwähnt, können ernste Sicherheitsprobleme aufkommen, wenn RDP dem Internet gegenüber offen ist. Stattdessen sollten Unternehmen VPN einsetzen, damit Benutzer sicher von Außen auf das Unternehmensnetzwerk zugreifen können, ohne dass ihre Systeme dem gesamten Internet ausgesetzt sind.
  2. Starke Kennwörter festlegen: Bei den meisten RDP-basierten Angriffen werden schwache Zugangsdaten geknackt. Daher müssen Unternehmen für alle RDP-Clients und Server starke Passwörter durchsetzen. Diese müssen lang, einzigartig und zufällig sein.
  3. Mehrstufige Authentisierung nutzen: Selbst die stärksten Kennwörter können beeinträchtigt werden. Eine perfekte Lösung gibt es zwar nicht, aber die mehrstufige Authentisierung (MFA) bietet zumindest eine zusätzliche Schutzschicht, indem Anwender zum Anmelden bei einer RDP-Sitzung mindestens zwei Arten der Authentisierung (etwa noch einen einmaligen Code oder einen biometrischen Nachweis) verwenden müssen.
  4. Zugriff per Firewall beschränken: Mit einer Firewall können Sie den RDP-Zugriff auf eine bestimmte IP-Adresse oder einen Bereich von IP-Adressen beschränken.
  5. RD-Gateways einsetzen: Mit einem RD-Gatewayserver, einer seit Version 2008 für alle Windows Server verfügbare Funktion, lässt sich die RDP-Bereitstellung und das Sicherheitsmanagement vereinfachen.
  6. IPs bei wiederholt fehlgeschlagenen Anmeldeversuchen blockieren: Eine große Anzahl von fehlgeschlagenen Anmeldeversuchen innerhalb eines kurzen Zeitraums deutet auf einen Brute-Force-Angriff hin. Mit den Kontorichtlinien in Windows kann festgelegt werden, wie viele Versuche ein Anwender beim Anmelden für den RDP-Zugriff haben darf. Die Schutzsoftware von Emsisoft warnt Administratoren automatisch, wenn mehrere fehlgeschlagene Anmeldeversuche erkannt werden.
  7. Fernzugriff beschränken: Während alle Administratorkonten standardmäßig RDP verwenden dürfen, kann es durchaus sein, dass nicht alle Benutzer den Fernzugriff für ihre eigentliche Arbeit brauchen. Daher sollten Unternehmen sich an das Prinzip der geringsten Berechtigungen halten und den RDP-Zugriff auf die Arbeitskräfte beschränken, die ihn wirklich benötigen.
  8. RDP-Überwachungsport ändern: Angreifer machen mögliche Opfer ausfindig, indem Sie das Internet nach Computern absuchen, die auf dem standardmäßigen RDP-Port (TCP 3389) empfangsbereit sind. Unternehmen können zwar anfällige Verbindungen „verstecken“, indem sie diesen Überwachungsport über die Windows-Registrierung ändern, allerdings bietet dieses Vorgehen keinen Schutz vor RDP-Angriffen. Es sollte daher nur als eine zusätzliche Vorsichtsmaßnahme gesehen werden.

Fazit

Der plötzliche Wechsel zur Heimarbeit hat zu einer erhöhten Anzahl von Servern mit offenen RDP-Ports geführt und Cyberkriminelle versuchen, sich das zunutze zu machen.

Indem sie aktiv Vorkehrungen zum Absichern von RDP ergreifen, können Unternehmen dennoch auf sichere Weise die Vorteile der Heimarbeit nutzen und gleichzeitig das Risiko RDP-basierter Bedrohungen minimieren.

 

Übersetzung: Doreen Schäfer

Jareth

Jareth

Freier Schriftsteller und Sicherheits-Enthusiast in Auckland, Neuseeland.

Weitere Artikel