Bei einem aktuellen Sicherheitsvorfall, den unser SOC-Team beobachtete, setzten die Angreifer eine subtile Technik namens „RDP Registry Modification“ ein, nachdem sie bereits unbefugten Zugriff auf Windows-basierte Systeme erlangt hatten, um ihren Angriff auszuweiten. Durch Übernahme eines RDP-Users und das gezielte Modifizieren spezifischer Registry-Einträge waren sie in der Lage, die offensichtlichen Hinweise auf weitere Aktivitäten über das Remote Desktop Protocol (RDP) zu verschleiern. Dies ermöglichte es ihnen, sich lateral, also seitwärts, durch das Netzwerk zu bewegen, wodurch sie potenziell Zugriff auf weitere Systeme und Ressourcen erlangten – und das weitestgehend unentdeckt.
Durch solche Registry-Anpassungen konnten die Angreifer nicht nur bestehende RDP-Sicherheitsmaßnahmen außer Kraft setzen, sondern auch möglichst viele Spuren verschleiern und somit ihre verborgene Präsenz im System weiter ausdehnen. Das damit verbundene Risiko ist erheblich: Es gab ihnen die Möglichkeit, ohne Aufsehen sensible Daten abzugreifen, Malware zu verbreiten oder andere bösartige Aktionen im Schatten auszuführen.
So gingen die Angreifer vor
Die genaue Vorgehensweise des Angriffs kann je nach Konfiguration des betroffenen Systems variieren. Allerdings wurden die zwei folgende Registrierungsschlüssel häufig modifiziert:
„HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp“: Durch das Ändern von Einstellungen wie „SecurityLayer“ und „UserAuthentication“ konnten die Angreifer die Sicherheitsmechanismen des RDP-Protokolls umgehen.
„HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp“: Hier wurde möglicherweise der „PortNumber“ geändert, um RDP-Verbindungen über einen anderen Port als den Standardport 3389 zu ermöglichen.
Handlungsempfehlungen
Um solche Angriffe zu verhindern, sollten Unternehmen folgende Maßnahmen ergreifen:
- Überwachung der Registry: Achten Sie auf eine regelmäßige Überwachung der kritischen Registry-Einträge im Zusammenhang mit RDP und anderen wichtigen Sicherheitseinstellungen. Eine unautorisierte Änderung dieser Einträge kann auf eine Kompromittierung hinweisen.
- Implementierung von Firewall-Regeln: Konfigurieren Sie Ihre Firewalls, um den RDP-Zugriff auf autorisierte IP-Adressen und Benutzerkonten zu beschränken. Blockieren Sie unerwünschten RDP-Zugriff aus dem Internet.
- Starke Zugriffskontrollen: Vergeben Sie starke, eindeutige Passwörter für RDP-Konten und beschränken Sie den Zugriff auf autorisierte Benutzer. Implementieren Sie zudem eine Zwei-Faktor-Authentifizierung, um die Sicherheit weiter zu erhöhen.
- Regelmäßige Sicherheitsaudits: Führen Sie regelmäßige Sicherheitsaudits durch, um potenzielle Schwachstellen frühzeitig zu erkennen und Gegenmaßnahmen ergreifen zu können.