Der jüngste AnyDesk-Datenleck ist eine rechtzeitige Erinnerung dafür, dass Unternehmen Best Practices in Bezug auf Fernzugriffssoftware und -dienste befolgen – sowohl in Bezug auf Tools von Drittanbietern als auch auf die in Betriebssystemen, Browsern usw. eingebetteten Funktionen oder Dienste.
Der Hersteller von AnyDesk erzwang eine Passwortzurücksetzung für alle Benutzer, nachdem er im Darknet 18.000 Benutzeranmeldeinformationen für 15.000 Dollar zum Verkauf gefunden hatte. Der Verstoß legte möglicherweise die Lizenzschlüssel der AnyDesk-Kunden offen, eine Anzahl aktiver Verbindungen, die Dauer der Sitzungen, Kunden-IDs und Kontaktinformationen, die mit dem Konto verknüpfte E-Mail-Adresse und die Gesamtzahl der Hosts, auf denen die Fernzugriffsverwaltungssoftware aktiviert ist.
Dieser Verstoß ist ein weiteres Beispiel für die zahlreichen Bedrohungen, denen Organisationen durch Fernzugriffssoftware und -dienste ausgesetzt sind. In den Monaten vor dem Angriff beobachteten Sicherheitsforschungslabore einen Anstieg der Bedrohungsaktivitäten, die auf diese Tools und Dienste abzielten und diese missbrauchten – und viele gehen davon aus, dass sich dieser Trend wahrscheinlich bis 2024 und darüber hinaus fortsetzen wird.
Remote-Access-Tool vs. Remote-Access-Trojaner
IT-Supportteams verlassen sich bei der Fernsteuerung, Dateiübertragung und VPN-Funktionalität auf AnyDesk. Es ist ein nützliches Tool zur Fehlerbehebung, Durchführung von Wartungsarbeiten und Installation von Patches. Leider finden Angreifer diese Fernzugriffstools auch sehr nützlich, da sie denselben Zweck erfüllen wie ein Fernzugriffstrojaner.
Wie andere Fernzugriffssoftware wird AnyDesk häufig von Angreifern für Angriffe verwendet. Um die Kontrolle über das interne Netzwerk eines Unternehmens zu übernehmen, verbinden Angreifer wie die Conti-Ransomware-Gruppe AnyDesk bekanntermaßen mit Cobalt Strike.
Angreifer nutzen diese Fernzugriffstools, um Benutzer für Betrugsversuche beim technischen Support anzugreifen. Der Angreifer gibt sich als Mitarbeiter des Unternehmens oder des legitimen Software-Supports aus, um Benutzer davon zu überzeugen, das Fernzugriffstool zu installieren oder zuzulassen. Anschließend übernimmt der Angreifer die Kontrolle über den Computer, um Malware zu installieren. Sobald Angreifer einen Brückenkopf erreicht haben, können sie die legitimen Fernzugriffstools der gehackten Organisation nutzen, um bösartige Aktivitäten in den normalen Netzwerkverkehr einzufügen, wodurch sie sich leichter verbreiten und schwerer erkennen lassen.
Externe Remote-Dienste
Ähnlich wie Fernzugriffssoftware sind externe Remotedienste in Betriebssystemen und Browsern mit Diensten wie Windows Remote Desktop Protocol (RDP), Virtual Network Computing (VNC), X11 Forwarding over SSH und XRDP (eine Open-Source-Implementierung von Microsoft RDP, die es Benutzern ermöglicht, einen Remotecomputer mit einem Linux-Betriebssystem von einem Windows-Computer aus mithilfe des nativen Windows RDP-Clients grafisch zu steuern) weit verbreitet.
Wie Fernzugriffssoftware sind diese Dienste Ziele für Brute-Force-Angriffe und den Diebstahl von Anmeldeinformationen. Sobald Angreifer in einem Netzwerk sind, verwenden sie RDP oder andere externe Remote-Dienste, um sich seitlich in andere Systeme zu bewegen, ihre Berechtigungen zu erweitern und zusätzliche Ressourcen zu kompromittieren. Beide Tools können für Organisationen unglaublich nützlich sein, aber in den Händen von Angreifern stellen sie eine erhebliche Bedrohung dar. Da Angreifer ihre Taktiken verfeinern, ist es immer wichtiger, sie zu schützen.
Bewährte Methoden für den Fernzugriff
Auch wenn das IT-Supportteam eines Unternehmens es den Sicherheitsverantwortlichen wahrscheinlich nicht erlauben wird, die Nutzung von Fernzugriffstools und externen Remote-Diensten gänzlich abzuschaffen, sollten sich die Sicherheitsteams mit den folgenden Best Practices vertraut machen:
Implementieren Sie Anwendungs-Whitelists:
Nutzen Sie Anwendungssteuerungslösungen wie AppLocker, um eine Whitelist genehmigter Software zu erstellen. Blockieren Sie standardmäßig alle nicht ausdrücklich genehmigten Anwendungen und stellen Sie so sicher, dass auf keinem System im Netzwerk nicht autorisierte Fernsteuerungssoftware installiert oder ausgeführt werden kann.
Blockieren Sie Kontrollserver am Netzwerkperimeter:
Konfigurieren Sie den Proxy oder das Web-Gateway der Organisation, um den Zugriff auf bekannte Kontrollserver zu blockieren, die von beliebten Anbietern von Fernsteuerungssoftware verwendet werden. Dieser Schritt verhindert, dass sich Fernsteuerungssoftware für Updates oder Fernzugriffsfunktionen mit deren Servern verbindet.
Integrieren Sie Warnmeldungen in SIEM-Systeme:
Erweitern Sie das SIEM-System (Security Information and Event Management), um Warnmeldungen für jeden Versuch zu generieren, auf bekannte Remote-Control-Server zuzugreifen, oder wenn nicht autorisierte Software auf Schlüsselsystemen erkannt wird. Dies ermöglicht eine sofortige Erkennung und Reaktion auf potenzielle Sicherheitsvorfälle.
Überwachen und steuern Sie den Netzwerkverkehr:
Überprüfen Sie regelmäßig die Netzwerkverkehrsprotokolle auf ungewöhnliche Muster oder Verbindungen zu bekannten Remotesteuerungsservern. Verwenden Sie Netzwerksegmentierung und Firewall-Richtlinien, um unnötige ausgehende Verbindungen einzuschränken.
Mitarbeiter schulen und ausbilden:
Führen Sie für alle Mitarbeiter regelmäßig Schulungen zum Thema Sicherheit durch, um sie auf die Risiken aufmerksam zu machen, die mit nicht autorisierter Fernsteuerungssoftware verbunden sind. Informieren Sie sie über die ordnungsgemäße Verwendung genehmigter Anwendungen und die Wichtigkeit der Einhaltung der Sicherheitsrichtlinien des Unternehmens.
Verwaltete Ausnahmen:
In Fällen, in denen die Verwendung einer bestimmten Fernsteuerungssoftware für legitime Geschäftszwecke erforderlich ist, richten Sie einen kontrollierten Prozess für die Gewährung von Ausnahmen ein. Dieser Prozess sollte die Einholung der Genehmigung durch das IT-Sicherheitsteam, die Dokumentation der Begründung für die Ausnahme und die Beschränkung der Verwendung der Software auf bestimmte Geräte oder Benutzer unter strenger Überwachung umfassen instagram search.
Der AnyDesk-Hack ist nur ein Beispiel von vielen, das zeigt, dass IT-Supportteams zwar denken, sie wüssten, wie gefährdet sie sind, dies aber oft nicht der Fall ist. Es reicht nicht mehr aus, sich auf reaktive Sicherheitsmaßnahmen zu verlassen – ein proaktiver Ansatz zur Sicherheitsvalidierung ist entscheidend.