Malware opent RDP-poort in firewall voor toekomstige toegang
Onderzoekers hebben malware ontdekt die de RDP-poort in de firewall openzet zodat aanvallers daar op een later moment gebruik van kunnen maken. De malware wordt Sarwent genoemd en is al sinds 2018 in gebruik, aldus onderzoeker Jason Reaves van securitybedrijf SentinelOne in een analyse.
Sarwent zou echter weinig aandacht van onderzoekers hebben gekregen. Begin dit jaar verscheen er een tweet van onderzoeker Vitali Kremez over de malware, maar verder is er weinig informatie over te vinden. Zo is onbekend hoe Sarwent precies wordt verspreid. Mogelijk gebeurt dit via andere malware. Eerdere versies van Sarwent zijn ontwikkeld om aanvullende malware op besmette systemen te installeren.
Onlangs verscheen er een nieuwe versie van Sarwent waarbij de ontwikkelaars de nadruk legden op het Remote Desktop Protocol (RDP) van Windows. Zodra Sarwent op een systeem actief is maakt de malware een nieuw Windows-gebruikersaccount aan en opent de RDP-poort in de firewall. Volgens Reaves wordt dit gedaan om het systeem op een later moment te kunnen benaderen. Het kan daarbij om de aanvallers zelf gaan, maar de onderzoeker sluit niet uit dat de RDP-toegang aan andere criminelen wordt doorverkocht.
Naast een beschrijving van de malware heeft Reaves ook "indicators of compromise" (IOCs) gegeven. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, hashes en domeinen.
Vraag:
Hoeveel (windows)apparaten communiceren rechtstreeks met het internet zonder gefilterd te worden door de router-firewall?
Of misschien moet de vraag zijn:
Hoeveel router-firewalls (of ISPs) staan default toe dat RDP-sessies opgezet kunnen worden tussen internet en intranet.
Zou deze poort niet standaard dicht moeten staan op de router-firewall?
Vraag:
Hoeveel (windows)apparaten communiceren rechtstreeks met het internet zonder gefilterd te worden door de router-firewall?
Of misschien moet de vraag zijn:
Hoeveel router-firewalls (of ISPs) staan default toe dat RDP-sessies opgezet kunnen worden tussen internet en intranet.
Zou deze poort niet standaard dicht moeten staan op de router-firewall?
En als de verbinding nou eens van het lokale netwerk naar Internet wordt opgezet?
Er zijn maar weinig bedrijven die filtering van binnen naar buiten hebben opgezet en daar maakt Sarwent gebruik van.
Vraag:
Hoeveel (windows)apparaten communiceren rechtstreeks met het internet zonder gefilterd te worden door de router-firewall?
Of misschien moet de vraag zijn:
Hoeveel router-firewalls (of ISPs) staan default toe dat RDP-sessies opgezet kunnen worden tussen internet en intranet.
Zou deze poort niet standaard dicht moeten staan op de router-firewall?
En als de verbinding nou eens van het lokale netwerk naar Internet wordt opgezet?
Er zijn maar weinig bedrijven die filtering van binnen naar buiten hebben opgezet en daar maakt Sarwent gebruik van.
Ik mag hopen dat ieder bedrijf filtering naar buiten heeft opgezet, b.v. via een authenticating proxy is dat goed te doen. Zet er meteen wat DPI op en controleer wat naar buiten gaat. Je wil toch geen data lekken .... ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
