Profit_Image – shutterstock.com
Forscher des Safety-Anbieters GreyNoise entdeckten kürzlich eine huge Angriffswelle, die von mehr als 100.000 IP-Adressen in mehr als 100 Ländern ausging. Die Analysten gehen davon aus, dass die Angriffe auf ein einzelnes, groß angelegtes Botnet zurückgeht. Laut Forschungsbericht haben es die Täter hinter der Kampagne hauptsächlich auf die RDP-Infrastruktur (Distant Desktop Protocol) der Vereinigten Staaten abgesehen.
Zwei Angriffsvektoren
Den Sicherheitsspezialisten zufolge kamen dabei zwei spezielle Angriffsarten zum Einsatz, um anfällige Systeme zu identifizieren und zu kompromittieren. Die erste ist ein RD-Net-Entry-Timing-Angriff. Bei dieser Methode messen Angreifer die Reaktionszeit des Servers auf Anmeldeversuche, um anonym gültige und ungültige Benutzernamen herauszufinden.
Die zweite Angriffsvariante ist eine RDP Net Consumer Login Enumeration. Dabei wird systematisch versucht, die Anmeldeinformationen von Benutzern zu erraten. Beide Methoden ermöglichen es dem Botnet, effizient nach ausnutzbaren RDP-Zugriffspunkten zu suchen, ohne sofort Normal-Sicherheitswarnungen auszulösen.
