Remote Desktop via RDP: Liebstes Kind der Cybercrime-Szene (1/4)

Immer mehr Menschen nutzen die Fernsteuerung durch Remote Desktop. Doch RDP birgt viele Gefahren, die es auch zum Liebling der Cyberkriminellen machen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 176 Beiträge

(Bild: Shutterstock.com)

Von

Für Admins in Windows-Netzen ist die Fernsteuerung via Remote Desktop schon lange unverzichtbar. Neuerdings erfährt sie durch die Nutzung aus dem Homeoffice weiteren Aufschwung. Doch das Remote Desktop Protocol (RDP) birgt eine Vielzahl an Gefahren, die zum Missbrauch geradezu einladen.

Weitere Folgen der Serie zum Remote Desktop Protocol

Der Autor Jürgen Schmidt bereitet den Inhalt der kompletten Serie auch gezielt für Administratoren in einem heise-Security-Webinar auf: Homeoffice und Administration via Remote Desktop - das sollten Admins wissen

Auf fast allen illegalen Marktplätzen und in einschlägigen Foren werden unverholen so genannte "Dediks" angeboten. Das ist der von "Dedicated Server" abgeleitete Name für einen Hintertür-Zugang via RDP. Für Preise zwischen 2 und 15 Euro bekommt man die Zugangsdaten von Windows-Systemen, die aus dem Internet via RDP erreichbar sind. In aller Regel handelt es sich dabei auch gleich um Administrator-Konten.

Die werden dann von ihren Käufern als nicht zurückverfolgbare Zwischenstationen für illegale oder zumindest zweifelhafte Aktivitäten wie den massenhaften Spam-Versand verwendet. Doch es hat sich auch ein anderes Geschäftsmodell rund um RDP entwickelt. So erklärte das FBI im März, dass RDP der wichtigste Einfallsvektor für Ransomware sei. Gemäß der FBI-Statistik ist RDP für 70 bis 80 Prozent der Einbrüche verantwortlich, in denen schlussendlich Erpressungstrojaner wichtige Daten verschlüsseln und anschließend Lösegeldforderungen in beträchtlicher Höhe auf die Firmen zukommen.

RDP-Zugänge werden auf Untergrund-Märkten für Preise zwischen 2 und 15 Dollar in Bitcoin verhökert. Die deutschen Server liegen am oberen Ende der Skala.

Viele Gangs machen sich dabei nicht einmal die Mühe, die Rechner selber zu kapern. Sie kaufen aus dem reichlichen Angebot einfach Mal auf Verdacht en Block 1000 RDP-Dediks und schauen, wo sie schlussendlich landen. Wenn da nur ein oder zwei brauchbare Opfer rauskommen, in deren Netz man sich dann anschließend weiter ausbreiten kann, dann hat sich das ganze schon richtig gelohnt. Der Rest wird weiterverscherbelt oder muss als Spam-Schleuder oder Cryptominer seine Anschaffungskosten abarbeiten.

Für stetigen Nachschub an Dediks ist gesorgt. Die Suchmaschine Shodan spuckt derzeit deutlich über 4 Millionen direkt aus dem Internet erreichbare RDP-Systeme aus; in Deutschland bilanzierte CERT-Bund erst kürzlich etwa 170.000. Viele davon sind nachlässig konfiguriert und spucken so viele Informationen aus, dass Brute-Force-Angriffe gute Erfolgschancen haben. Wie sowas abläuft erklärt der 3. Teil der Serie: RDP testen und angreifen.

Diese Arztpraxis ist via RDP aus dem Internet zu erreichen. Die freizügigen Einstellungen machen das zur akuten Gefahr.

Im Untergrund werden sogar kommerzielle Angriffs-Tools verkauft, die sich offenbar großer Beliebtheit erfreuen und seit Jahren stetig weiterentwickelt werden. So kann man mit RDP Brute mit wenigen Mausklicks und ohne IT-Security-Kenntnisse systematische Scans und Angriffe gegen beliebige IP-Ranges fahren.

Doch damit nicht genug: Viele Systeme stehen sogar sperrangelweit offen. Bluekeep ist der bunte Name der Sicherheitslücke CVE-2019-0708, über die Kriminelle ein Windows-System mit aktivem RDP direkt übernehmen können. Seit Microsoft im Mai 2019 den Patches dagegen veröffentlicht hat, wird das CERT-Bund nicht müde, vor der Gefahr zu warnen. Doch Ende März 2020 zählten sie immer noch rund 5400 verwundbare System allein in Deutschland. Das sind immer noch mehr als ein Drittel der ursprünglich anfälligen 15.000 RDP-Systeme in Deutschland.

Da es einen öffentlich verfügbaren Exploit und sogar Anleitungen gibt, wie man das ausnutzen kann, sind das 5400 leicht aufzuspürende Systeme, die nur darauf warten, gekapert zu werden. Und die Eigentümer beziehungsweise deren Provider ignorieren alle diesbezüglichen Warnungen hartnäckig. International sieht die Situation teilweise noch schlimmer aus.

Dass sich RDP so perfekt für die Fernsteuerung von Windows-Systemen eignet, machen sich Cyberkriminelle auch für Persistenz und die Ausbreitung in Firmennetzen (Lateral Movement) zunutze. Statt spezielle Backdoors zu platzieren, nutzen sie einfach RDP für den Zugang durch die Hintertür. So beobachten Incident-Response-Spezialisten im Gefolge von Emotet-Infektionen häufig, dass sich Kriminelle via RDP auf kompromittierten Systemen anmelden, um sich im Netz umzuschauen und das weitere Vorgehen zu planen.

Das sind dann häufig Mitglieder der Trickbot-Gang, die den möglichst effizienten Einsatz ihres Verschlüsselungs-Trojaners Ryuk vorbereiten. Aber auch andere Cybercrime-Akteure und staatlich geförderte Hacker-Teams (APTs) nutzen RDP immer häufiger als Backdoor, weil es einen komfortablen Zugang zur kompletten Windows-Funktionalität bietet und keine Spuren etwa in Form von einfach aufzuspürenden Schad-Programmen hinterlässt.

Und schließlich bietet auch Einsatz von RDP innerhalb von Firmennetzen viele Ansatzpunkte für Angriffe. So lassen sich oft durch einfache Downgrade-Attacken als Man-in-the-Middle Zugangsdaten etwa von Administratoren erbeuten.

Wer also RDP für Homeoffice, Administration oder Fernwartung einsetzen will oder muss, sollte sich genau über dessen Funktionsweise und insbesondere die damit verbundenen Risiken informieren. Die kann man bei richtigem Einsatz nämlich deutlich reduzieren. Dabei helfen die folgenden Artikel der RDP-Miniserie und natürlich das heise-Security-Webinar Homeoffice und Administration via Remote Desktop - das sollten Admins wissen.

(ju)