Palo Alto: Backoff und Citadel nutzen Remote Access Tools für Angriffe
München – 12. August 2014 – Aktuelle Beobachtungen von Palo Alto Networks weisen auf den Missbrauch von Remote Access-Anwendungen in Unternehmen hin. Vergangenen Woche wurde bekannt, dass eine neue Variante von Citadel, das sich lange auf Virtual Network Connection (VNC) verlassen hat, um Remote-Kontrolle über Systeme herzustellen, begonnen hat, infizierten Systemen neue Credentials hinzuzufügen und die Standard Windows Remote Desktop Application (RDP) zu aktivieren. Das erlaubt Angreifern, die Kontrolle über ein System beizubehalten, selbst wenn die Citadel Infektion entfernt wurde. Diese Art, RDP zu nutzen erlaubt es den Angreifern unter dem Radar zu fliegen, da RDP oft von Administratoren genutzt wird und daher nicht als Bedrohung gewertet wird.
Ebenfalls in der vergangenen Woche veröffentlichte US-CERT den Alert TA14-212A zur Backoff Point of Sale (PoS) Malware. Der Report beschreibt, wie Angreifer öffentlich verfügbare Tools genutzt haben, um Organisationen zu identifizieren, die Remote Access Applikationen auf unsichere Weise nutzen. Diese Erkenntnis haben sie dann bei Brute-Force-Angriffen auf Anmeldeinformationen genutzt, für unberechtigten Zugriff, Implantat-Installation und anschließendem Herausschleusen von Kunden-Bezahlinformationen.
„Wie bei jedem Tool können Remote Access Applikationen für gute und schlechte Zwecke eingesetzt werden. Es wäre für einen Administrator ineffizient, physisch in ein Büro zu fahren, um eine Änderung am System durchzuführen“, berichtet Thorsten Henning, Systems Engineering Manager, CISSP bei Palo Alto Networks, „Es ist aber unumgänglich, dass Organisationen die Kontrolle über diese Applikationen haben. Der erste Schritt besteht darin, sie im Netzwerk zu identifizieren. Palo Alto Networks verfolgt derzeit 90 verschiedene Remote Access-Applikationen bei Applipedia. Zu den Beispielen zählen Remote Desktop Protocol (RDP), Virtual Network Connection (VNC), TeamViewer, und sogar Secure Shell (SSH), um nur einige zu nennen.“
Wenn Unternehmen den Traffic identifizieren können, müssen sie das Gute vom Schlechten unterscheiden. Wenn die Systeme auf Windows laufen und sich die IT-Abteilung auf RDP verlässt, dann kann das Unternehmen VNC, TeamViewer und die anderen 87 Applikationen schließen, weil diese nicht gebraucht werden. Wenn die Administratoren und das Help Desk die Einzigen sind, die RDP-Access zu den Systemen brauchen, dann sollt RDP für alle anderen User deaktiviert werden. Der Schlüssel liegt darin, eine Policy zu etablieren und sicherzustellen, dass diese Policy auf Netzwerkebene durchsetzt wird.
„Die Backoff and Citadel Reports aus der letzten Woche zeigen, wie unkontrollierter Remote Access die Angriffsfläche vergrößert und eine Hintertür für Angreifer öffnet, die schon in den Netzwerken der Unternehmen sind“, fasst Thorsten Henning zusammen. „Der Missbrauch von Remote Access ist kein neues Problem. Palo Alto Networks hat auf die Bedeutung, diese Bedrohung zu kontrollieren, seit 2009 hingewiesen. Aber auch fünf Jahre später ist dies noch ein Problem für viele Organisationen.“
Über Palo Alto Networks
Palo Alto Networks ist das führende Unternehmen in einem neuen Zeitalter von Cybersecurity. Die Lösungen von Palo Alto Networks sichern die Netzwerke Tausender großer Unternehmen, Behörden und Service Provider gegen Risiken ab. Im Gegensatz zu fragmentierten Legacy-Lösungen ist die Security-Plattform von Palo Alto Networks in der Lage, den Geschäftsbetrieb sicher zu ermöglichen. Die Lösungen schützen Systeme basierend auf dem, was in aktuellen dynamischen IT-Umgebungen am wichtigsten ist: Anwendungen, Nutzer und Inhalte. Weitere Informationen unter http://www.paloaltonetworks.com.
