Profit_Image – shutterstock.com
Forscher des Security-Anbieters GreyNoise entdeckten kürzlich eine massive Angriffswelle, die von mehr als 100.000 IP-Adressen in mehr als 100 Ländern ausging. Die Analysten gehen davon aus, dass die Angriffe auf ein einzelnes, groß angelegtes Botnet zurückgeht. Laut Forschungsbericht haben es die Täter hinter der Kampagne hauptsächlich auf die RDP-Infrastruktur (Remote Desktop Protocol) der Vereinigten Staaten abgesehen.
Zwei Angriffsvektoren
Den Sicherheitsspezialisten zufolge kamen dabei zwei spezielle Angriffsarten zum Einsatz, um anfällige Systeme zu identifizieren und zu kompromittieren. Die erste ist ein RD-Web-Access-Timing-Angriff. Bei dieser Methode messen Angreifer die Reaktionszeit des Servers auf Anmeldeversuche, um anonym gültige und ungültige Benutzernamen herauszufinden.
Die zweite Angriffsvariante ist eine RDP Web Client Login Enumeration. Dabei wird systematisch versucht, die Anmeldeinformationen von Benutzern zu erraten. Beide Methoden ermöglichen es dem Botnet, effizient nach ausnutzbaren RDP-Zugriffspunkten zu suchen, ohne sofort Standard-Sicherheitswarnungen auszulösen.
