image

Malware opent RDP-poort in firewall voor toekomstige toegang

zondag 24 mei 2020, 09:06 door Redactie, 4 reacties

Onderzoekers hebben malware ontdekt die de RDP-poort in de firewall openzet zodat aanvallers daar op een later moment gebruik van kunnen maken. De malware wordt Sarwent genoemd en is al sinds 2018 in gebruik, aldus onderzoeker Jason Reaves van securitybedrijf SentinelOne in een analyse.

Sarwent zou echter weinig aandacht van onderzoekers hebben gekregen. Begin dit jaar verscheen er een tweet van onderzoeker Vitali Kremez over de malware, maar verder is er weinig informatie over te vinden. Zo is onbekend hoe Sarwent precies wordt verspreid. Mogelijk gebeurt dit via andere malware. Eerdere versies van Sarwent zijn ontwikkeld om aanvullende malware op besmette systemen te installeren.

Onlangs verscheen er een nieuwe versie van Sarwent waarbij de ontwikkelaars de nadruk legden op het Remote Desktop Protocol (RDP) van Windows. Zodra Sarwent op een systeem actief is maakt de malware een nieuw Windows-gebruikersaccount aan en opent de RDP-poort in de firewall. Volgens Reaves wordt dit gedaan om het systeem op een later moment te kunnen benaderen. Het kan daarbij om de aanvallers zelf gaan, maar de onderzoeker sluit niet uit dat de RDP-toegang aan andere criminelen wordt doorverkocht.

Naast een beschrijving van de malware heeft Reaves ook "indicators of compromise" (IOCs) gegeven. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, hashes en domeinen.

Reacties (4)
24-05-2020, 12:28 door Anoniem
Zodra Sarwent op een systeem actief is maakt de malware een nieuw Windows-gebruikersaccount aan en opent de RDP-poort in de firewall.

Vraag:
Hoeveel (windows)apparaten communiceren rechtstreeks met het internet zonder gefilterd te worden door de router-firewall?

Of misschien moet de vraag zijn:
Hoeveel router-firewalls (of ISPs) staan default toe dat RDP-sessies opgezet kunnen worden tussen internet en intranet.
Zou deze poort niet standaard dicht moeten staan op de router-firewall?
24-05-2020, 18:59 door Anoniem
Zou een crimineel gebruik maken van rdp wanneer dat niet effectief zou zijn?
25-05-2020, 11:37 door Anoniem
Door Anoniem:
Zodra Sarwent op een systeem actief is maakt de malware een nieuw Windows-gebruikersaccount aan en opent de RDP-poort in de firewall.

Vraag:
Hoeveel (windows)apparaten communiceren rechtstreeks met het internet zonder gefilterd te worden door de router-firewall?

Of misschien moet de vraag zijn:
Hoeveel router-firewalls (of ISPs) staan default toe dat RDP-sessies opgezet kunnen worden tussen internet en intranet.
Zou deze poort niet standaard dicht moeten staan op de router-firewall?

En als de verbinding nou eens van het lokale netwerk naar Internet wordt opgezet?
Er zijn maar weinig bedrijven die filtering van binnen naar buiten hebben opgezet en daar maakt Sarwent gebruik van.
27-05-2020, 11:42 door Covid-20 - Bijgewerkt: 27-05-2020, 11:44
Door Anoniem:
Door Anoniem:
Zodra Sarwent op een systeem actief is maakt de malware een nieuw Windows-gebruikersaccount aan en opent de RDP-poort in de firewall.

Vraag:
Hoeveel (windows)apparaten communiceren rechtstreeks met het internet zonder gefilterd te worden door de router-firewall?

Of misschien moet de vraag zijn:
Hoeveel router-firewalls (of ISPs) staan default toe dat RDP-sessies opgezet kunnen worden tussen internet en intranet.
Zou deze poort niet standaard dicht moeten staan op de router-firewall?

En als de verbinding nou eens van het lokale netwerk naar Internet wordt opgezet?
Er zijn maar weinig bedrijven die filtering van binnen naar buiten hebben opgezet en daar maakt Sarwent gebruik van.

Ik mag hopen dat ieder bedrijf filtering naar buiten heeft opgezet, b.v. via een authenticating proxy is dat goed te doen. Zet er meteen wat DPI op en controleer wat naar buiten gaat. Je wil toch geen data lekken .... ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.