image

Botnet voert bruteforce-aanval uit op 1,5 miljoen RDP-servers

vrijdag 7 juni 2019, 11:12 door Redactie, 19 reacties

Onderzoekers hebben een botnet genaamd 'GoldBrute' ontdekt dat via het remote desktopprotocol (RDP) op 1,5 miljoen servers probeert in te breken. Het botnet gebruikt zwakke en hergebruikte wachtwoorden om via RDP op de servers in te loggen.

Zodra de inlogpoging succesvol is wordt de bot op het systeem geïnstalleerd. Deze bot scant vervolgens naar willekeurige ip-adressen om meer blootgestelde RDP-servers te vinden. Deze ip-adressen worden aan de command & control-server van het botnet doorgegeven. Nadat de bot tachtig nieuwe slachtoffers heeft gerapporteerd ontvangt die een verzameling doelwitten om aan te vallen.

Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is", zegt Renato Marinho van Morphus Labs. Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken.

Image

Reacties (19)
07-06-2019, 11:26 door Anoniem
"Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.
07-06-2019, 11:33 door Briolet
Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is"

Maar echt opschieten doet het ook niet. Ik heb op mijn mailserver ook gezien dat sommige IP adressen het maar 1x per dag proberen. Die blijven inderdaad onder de radar van "3 foute pogingen per uur/dag toestaan". Maar dat zijn dan slechts 365 pogingen per jaar. Dat schiet niet op, tenzij je dit inderdaad vanuit duizenden servers tegelijk doet. Maar volgens mij gaat zo'n aantal dan ook opvallen.
07-06-2019, 11:55 door Anoniem
Door Briolet:
Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is"

Maar echt opschieten doet het ook niet. Ik heb op mijn mailserver ook gezien dat sommige IP adressen het maar 1x per dag proberen. Die blijven inderdaad onder de radar van "3 foute pogingen per uur/dag toestaan". Maar dat zijn dan slechts 365 pogingen per jaar. Dat schiet niet op, tenzij je dit inderdaad vanuit duizenden servers tegelijk doet. Maar volgens mij gaat zo'n aantal dan ook opvallen.

Het valt veel minder op en is veel moeilijker te filteren. Daarnaast beperkt een bot zich weliswaar tot één gebruikersnaam per doelwit maar natuurlijk niet tot een doelwit, en als je 1,5 miljoen doelwitten hebt moet een bot 11,6 verbindingen per seconde maken om alle doelwitten een keer per dag te raken met een inlogpoging.
07-06-2019, 12:00 door Anoniem
Door Briolet:
Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is"

Maar echt opschieten doet het ook niet. Ik heb op mijn mailserver ook gezien dat sommige IP adressen het maar 1x per dag proberen. Die blijven inderdaad onder de radar van "3 foute pogingen per uur/dag toestaan". Maar dat zijn dan slechts 365 pogingen per jaar. Dat schiet niet op, tenzij je dit inderdaad vanuit duizenden servers tegelijk doet. Maar volgens mij gaat zo'n aantal dan ook opvallen.

In kleine omgevingen wel. In grote omgevingen zal er enkel automatische detectie plaatsvinden en dan valt het een stuk minder op.
07-06-2019, 12:09 door Anoniem
Oeps, ik heb me verrekend in mijn vorige reactie, 1500000 doelwitten / 86400 seconden = 17,4 verbindingen per seconde om ieder doelwit een keer per dag te raken.
07-06-2019, 13:01 door Anoniem
Door Briolet:
Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is"

Maar echt opschieten doet het ook niet. Ik heb op mijn mailserver ook gezien dat sommige IP adressen het maar 1x per dag proberen. Die blijven inderdaad onder de radar van "3 foute pogingen per uur/dag toestaan". Maar dat zijn dan slechts 365 pogingen per jaar. Dat schiet niet op, tenzij je dit inderdaad vanuit duizenden servers tegelijk doet. Maar volgens mij gaat zo'n aantal dan ook opvallen.

Dat is inderdaad wat er gebeurd. Alles is proportioneel. Met 100 servers doe je op 1 server 100 inlogpogingen tegelijk.
07-06-2019, 14:01 door Anoniem
Door Briolet:
Elke bot probeert één bepaalde gebruikersnaam en wachtwoord per doelwit. "Dit is mogelijk een strategie om niet te worden gedetecteerd door securitytools, aangezien elke inlogpoging van een ander ip-adres afkomstig is"

Maar echt opschieten doet het ook niet. Ik heb op mijn mailserver ook gezien dat sommige IP adressen het maar 1x per dag proberen. Die blijven inderdaad onder de radar van "3 foute pogingen per uur/dag toestaan". Maar dat zijn dan slechts 365 pogingen per jaar. Dat schiet niet op, tenzij je dit inderdaad vanuit duizenden servers tegelijk doet. Maar volgens mij gaat zo'n aantal dan ook opvallen.
Hangt af van hoe monitoring ingericht is. Geen enkele set aan detectiemaatregelen detecteert alles, en er zijn er vast voldoende die dit niet zouden detecteren. En zelfs dan, het is niet triviaal om zo'n grote set aan IP-adressen te blokkeren.

Overigens wel eens, ik denk dat veel detectietools dit kunnen detecteren als ze goed ingericht zijn.
07-06-2019, 15:04 door Anoniem
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.

Over het algemeen overwogen keuzes van management; de beheerder krijgt de opdracht om het te doen zoals de manager het wil ongeacht motivatie.
07-06-2019, 16:09 door Anoniem
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.
Hahaha xD
08-06-2019, 18:23 door Anoniem
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.

Waarom kan je een service die door het OS megeleverd wordt niet openlijk aan het internet hangen, is RDP niet veilig dan?
08-06-2019, 22:42 door karma4
Door Anoniem:
Waarom kan je een service die door het OS megeleverd wordt niet openlijk aan het internet hangen, is RDP niet veilig dan?
Telnet ssh open zetten met root rechten met meteen daarachter gevoelige data is geen goed idee.
Elke richtlijn op security gebied stelt ergens wel dat je dat niet moet doen. Enkel deze vraag stellen zegt dat je er nooit mee te maken gehad hebt.
08-06-2019, 23:24 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.

Waarom kan je een service die door het OS megeleverd wordt niet openlijk aan het internet hangen, is RDP niet veilig dan?
Met het gevaar dat dit een troll is: Het RDP protocol heeft geen "Intruder Lockout" bij foute inlogpogingen, dit in tegenstelling tot SSH etc. Je kunt dus wachtwoorden blijven proberen zonder dat je eruit gegooid wordt.
09-06-2019, 23:03 door Anoniem
Wat als het een legitiem inloggen betreft van een zojuist met ransomeware geinfecteerde eigen medewerker?
In die gevallen helpt 2F en loggen ook niet veel.
#sockpuppet
10-06-2019, 09:54 door 42
Door karma4:
Door Anoniem:
Waarom kan je een service die door het OS megeleverd wordt niet openlijk aan het internet hangen, is RDP niet veilig dan?
Telnet ssh open zetten met root rechten met meteen daarachter gevoelige data is geen goed idee.
Elke richtlijn op security gebied stelt ergens wel dat je dat niet moet doen. Enkel deze vraag stellen zegt dat je er nooit mee te maken gehad hebt.

Wat heeft Telnet en ssh te maken in een RDP discussie?
SSH is veilig en kan onveilig gemaakt worden door de beheerder, telnet/rsh/rlogin staat al jaren niet meer aan.

Laat me de richtlijn maar eens zien om geen ssh te gebruiken, en ja 123456 als password gebruiken is geen richtlijn.
10-06-2019, 10:44 door Tintin and Milou
Door Anoniem:
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.

Waarom kan je een service die door het OS megeleverd wordt niet openlijk aan het internet hangen, is RDP niet veilig dan?
RDP zelf is veilig te gebruiken in de juiste configuratie, maar dat wordt vaak niet gedaan. Natuurlijk wel de laatste patches gebruiken, maar dat is bij iedere applicatie die aan het Internet hangt
Zeker niet omdat RDP vaak een Userid/wachtwoord authenticatie is, en die zijn risicovol met de huidige Password Spraying mogelijkheden.
RDP wil je dus gewoon niet direct aan het Internet plaatsen.
Net zoals SMB of NFS. Dat wil je ook niet direct aan het Internet hangen, terwijl het wel een service is die met het OS mee geleverd wordt.

Door NedFox:
Met het gevaar dat dit een troll is: Het RDP protocol heeft geen "Intruder Lockout" bij foute inlogpogingen, dit in tegenstelling tot SSH etc. Je kunt dus wachtwoorden blijven proberen zonder dat je eruit gegooid wordt.
Ofwel je moet de accountlockout goed instellen, zodat accounts gelocked worden bij zoveel foutieve inlog pogingen.
10-06-2019, 11:17 door Anoniem
Door Tintin and Milou:
RDP zelf is veilig te gebruiken in de juiste configuratie, maar dat wordt vaak niet gedaan. Natuurlijk wel de laatste patches gebruiken, maar dat is bij iedere applicatie die aan het Internet hangt
Als het alleen veilig is "als je de laatste patches gebruikt" dan is het kennelijk NIET veilig!
Immers de volgende patches, die de huidige versie veilig maken, heb je nog niet geinstalleerd.
10-06-2019, 11:28 door [Account Verwijderd]
Door Tintin and Milou: RDP wil je dus gewoon niet direct aan het Internet plaatsen.
Net zoals SMB of NFS. Dat wil je ook niet direct aan het Internet hangen, terwijl het wel een service is die met het OS mee geleverd wordt.

Dat zijn eigenlijk min of meer alle Windows services. Samenvattend moet je Windows dus gewoon helemaal niet aan internet hangen.
10-06-2019, 20:19 door Anoniem
Door Anoniem:
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.

Over het algemeen overwogen keuzes van management; de beheerder krijgt de opdracht om het te doen zoals de manager het wil ongeacht motivatie.

inderdaad. Business besluit. Security kan (en mag) een recommendation geven dat het a b s o l u u t niet handig is dergelijke risico's te nemen, en daar blijft het ook bij. Een ieder die denkt dat security beslissend is.. nou ja.. wat meer realiteitszin zou passend zijn

Eminus
12-06-2019, 10:26 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: "Hij merkt op dat het geen goed idee is om RDP voor het gehele internet toegankelijk te maken."

Als dat het geval is dan moet je snel een andere beheerder gaan zoeken want die vorige is incapabel.

Over het algemeen overwogen keuzes van management; de beheerder krijgt de opdracht om het te doen zoals de manager het wil ongeacht motivatie.

inderdaad. Business besluit. Security kan (en mag) een recommendation geven dat het a b s o l u u t niet handig is dergelijke risico's te nemen, en daar blijft het ook bij. Een ieder die denkt dat security beslissend is.. nou ja.. wat meer realiteitszin zou passend zijn

Eminus

Dan moet ik eerlijk zijn dat het hier toch anders aan toe gaat.
Je kan toch niet akkoord gaan met verantwoordelijk zijn voor iets dat je weet dat potentieel het bedrijf/organizatie/… ten gronde zal richten...
'k Heb letterlijk deze vraag ooit gehad bij een sollicitatie. Wat als mijn directe manager niet luistert, wat als zijn manager niet luistert en wat als de CEO ook niet luistert. Mijn antwoord was toen dat ik 1.niet in staat zou zijn mijn werk naar behoren uit te voeren en ik dus daar niet zou kunnen functioneren zoals het zou moeten en ik zou vertrekken. 2. 'k een mail zou sturen naar alle 3 de heren met de mogelijke risico's in beschreven en een uitgewerkte oplossing erbij 3. dat er een duidelijke vermelding zou komen in voorgaande mail (en de daaropvolgende bevestiging van hun) dat ze op de hoogte zijn van het gevaar in welke ze het bedrijf brengen.

Hier bij het bedrijf waar ik nu werk hebben we reeds een paar maal onze hakken in het zand gezet als netwerk- en systeembeheerders wanneer het op security aankomt. Dan mag directie niet akkoord zijn, wij staan in voor de veiligheid van het bedrijf op ICT vlak en hebben er hopelijk de kennis voor. Zij niet en ze mogen altijd een derde partij betrekken, maar k vertrouw erop dat dezen ook niet zal aanraden om toe laten zonder wachtwoorden te werken etc.
Wel moet ik erbij vermelden dat we als bedrijf geen website hebben en eigenlijk zeer onbekend zijn en dit ook willen blijven. Dat maakt het toch al gemakkelijker. Maar dan nog val je achterover hoeveel onze PBX, firewall en exchange aangesproken worden door externe bronnen waar we zeker van zijn dat ze niet van ons of onze bronnen zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.