19. August 2021

Rootkit ermöglicht Remotezugriff per TCP-Verbindung

Im Certified Security Operations Center (CSOC) wurde kürzlich ein Angriffsversuch mit der Meldung ‚ET MALWARE Hacker Defender Root Kit Remote Connection Attempt Detected‘ identifiziert und untersucht. Über die gesetzten TCP-Flags war ersichtlich, dass eine Verbindung aufgebaut wurde und eine Datenübertragung stattgefunden hatte. Die Nachverfolgung der IP-Adresse des Quellsystems ergab, dass ein Angreifer versucht hatte, mithilfe eines Hacker Defender Rootkits auf ein internes System unseres Kunden zuzugreifen.

Das Hacker Defender Rootkit versetzt Cyberkriminelle in die Lage, jeden offenen TCP-Socket auf ein System zu verwenden, um einen Remotezugriff zu erzielen. Dafür hackt sich das Rootkit in Socket Operationen ein. Wenn in der Folge ein spezifisches TCP-Paket empfangen wird, arrangiert das Hacker Defender Root Kit einen Zugriff mit dem Remote-User. Somit können unsichtbare Hintertüren zu einem System erstellt werden, um ein Gerät fernzusteuern. Das Gefährliche hierbei ist, dass das kompromittierte System die aufgebaute TCP-Verbindung nicht erfasst. Da es sich effektiv vor allen Antivirenprogrammen verbergen kann und leicht zu modifizieren ist, ist es sehr schwierig ein Rootkit zu erkennen

Unser Kunde hatte Glück im Unglück: Er wurde durch unser Blue-Team informiert, sodass die IP des Angreifers in der Firewall rechtzeitig gesperrt werden konnte.

Unsere Handlungsempfehlungen:

Vermeiden Sie verdächtige Seiten und öffnen Sie keine unsicheren Links und Anhänge von E-Mails unbekannter Absender.
Führen Sie regelmäßig Systemupdates durch.
Verwenden Sie einen Rootkit-Scanner.
Führen Sie in kleinen Abständen Penetrationstests und Sicherheitstests durch.
Versuchen Sie, duale Authentifizierungssysteme zu verwenden.
Nutzen Sie IPSec für die Verschlüsselung und die Integrität.
Schränken Sie die Reichweite des Remotedesktop-TCP-Ports ein.
Unterbinden Sie administrative Anmeldungen per Remotedesktop mittels RDP-ACLs.