Attivo Networks mahnt zur Sicherung von Remote Services vor Ransomware-Angriffen

Remote-Dienste sind besonders attraktiv als Einfallstor für Ransomware, so die IT-Security-Spezialisten von Attivo Networks. Sobald Angreifer einmal in das Netzwerk des Opfers eingedrungen sind, versuchen sie laut Attivo in der Regel, Remote-Dienste auszunutzen, sich seitlich zu bewegen und Zugang zu Remote-Systemen zu erlangen, wobei sie es vor allem auf Domain-Controller, Dateifreigaben und ähnlich hochwertige Server abgesehen haben. Laut dem DFIR-Jahresrückblick 2021 resultierten 27 % der Techniken für laterale Bewegung in interaktiven Verbindungen wie AnyDesk, RDP, VNC und ähnlichen.

Häufige Szenarien für die Ausnutzung von Remote-Diensten

Die Ausnutzung von Remote-Diensten ist einer der häufigsten Angriffsvektoren für Ransomware. Angreifer nutzen dafür verschiedene bekannte Schwachstellen in Standarddiensten wie SMB und Remote Desktop Protocol (RDP) oder gestohlene Anmeldedaten. Auch Anwendungen auf externen Systemen wie MySQL und Webserver-Dienste werden gerne genutzt. Diese nach außen gerichteten Systeme mit offenen RDP-Ports zum Internet stellen ein erhöhtes Risiko dar. Bedrohungsakteure können Anwendungen ausnutzen, um sich zunächst Zugang zu einem Unternehmen zu verschaffen, und dann lateral vorgehen, um ihre Ziele zu erreichen.

Härtung von Remote-Diensten

Um die Angriffsfläche zu reduzieren, sollten Netzwerkbetreiber bewährte Sicherheitspraktiken anwenden und regelmäßige Assessments durchführen, um Schwachstellen zu erkennen und zu beheben, insbesondere bei Systemen und Anwendungen, die von außen zugänglich sind. So sollten insbesondere öffentlich zugängliche Konten für Fernüberwachung und Verwaltung regelmäßig auditiert und unnötige Konten und Gruppen gelöscht werden. Zudem sollten Root-Zugriffe auf das notwendige Minimum beschränkt werden.

Zu wenig Beachtung findet laut Jens Wollstädter, Regional Manager DACH von Attivo Networks, auch das Prinzip der geringsten Privilegien, das auf alle Systeme und Dienste angewendet werden sollte, so dass Benutzer nur den Zugriff erhalten, den sie für die Ausführung ihrer Aufgaben benötigen. Bedrohungsakteure suchen oft nach privilegierten Konten, um Ransomware-Operationen zu nutzen. Auch die Verwendung von PowerShell mithilfe von Gruppenrichtlinien sollte bedarfsgerecht eingeschränkt werden, denn Angreifer verwenden PowerShell gerne, um Ransomware bereitzustellen und ihre Aktivitäten zu verbergen.

Ein weiterer wichtiger Aspekt ist die Absicherung von RDP-Verbindungen mithilfe einer die Multifaktor-Authentifizierung (MFA). Zudem sollten Verbindungen nur von RDP-Computern mit Network Level Authentication (NLA) zugelassen werden. NLA kann auch nützlich sein, um sich vor Brute-Force-Angriffen zu schützen, die häufig auf offene RDP-Server im Internet abzielen. RDP Brute-Force-Angriffe sind eine beliebte Methode, um auf Windows-Endpunkte oder -Server zuzugreifen.