Jagd auf RATs: So mindern Sie die Risiken von Remote-Access-Software

Fernzugriffssoftware ist seit vielen Jahren ein beliebtes Tool für IT-Administratoren, Managed Service Provider (MSPs), SaaS-Unternehmen und andere. Sie bietet eine unschätzbare Möglichkeit, mehrere IT- und OT-Endpunkte von einem einzigen, zentralen Standort aus fernzuverwalten und zu überwachen. Gleichzeitig bieten sie aber auch Bedrohungsakteuren eine wirksame Möglichkeit, die Abwehrmaßnahmen von Unternehmen zu umgehen und aus der Ferne auf die Netzwerke der Opfer zuzugreifen.

Ob es sich nun um Remote Access Tools (RATs), Remote Monitoring and Management (RMM)-Produkte oder Remote Administrationslösungen handelt, das Risiko ist das gleiche. Es ist an der Zeit, eine potenziell gefährliche Hintertür in die IT-Umgebungen von Unternehmen zu schließen.

Was sind RATs?

Tools wie Atera, AnyDesk, ConnectWise und TeamViewer sind in der IT-Community wohlbekannt. Obwohl sie schon seit Jahren eingesetzt werden, um Administratoren bei der Problembehebung, Einrichtung und Konfiguration von Maschinen, Patchen von Endpunkten und vielem mehr zu helfen, kamen RATs während der Pandemie voll zur Geltung. Doch während die Angriffe auf Remote-Desktop-Tools in dieser Zeit zunahmen, erlebten wir auch ein wachsendes Interesse an Remote-Access-Software als Möglichkeit, Sicherheitstools zu umgehen.

Sie wurden sogar bei Angriffen auf Einzelpersonen eingesetzt, bei denen das Opfer durch Social Engineering dazu gebracht wird, eine Malware auf seinen PC oder sein Mobilgerät herunterzuladen, um einem Betrüger Zugriff auf seine Bank- und andere Konten zu gewähren. Dies geschieht häufig bei Betrugsversuchen im technischen Support und in jüngster Zeit in einer ausgeklügelten Kampagne zur Identitätsbetrug der Regierung wurde entwickelt, um die Kartendaten der Opfer zu stehlen.

Warum sind RATs attraktiv?

Es dürfte nicht überraschend sein, dass Bedrohungsakteure immer häufiger auf solche Tools abzielen. Sie bieten eine nützliche Möglichkeit, sich in legitime Tools und Prozesse einzufügen, ähnlich wie „Living Off the Land“-Angriffe (LOTL). Da Remote-Access-Software mit vertrauenswürdigen Zertifikaten signiert ist, wird sie nicht durch Anti-Malware- oder Endpoint Detection and Response (EDR)-Tools blockiert. Weitere Vorteile für Angreifer sind die Tatsache, dass Remote-Access-Software:

• Verfügt möglicherweise über erweiterte Berechtigungen, die den Erstzugriff, die Persistenz, die laterale Bewegung, den Zugriff auf vertrauliche Ressourcen und die Datenexfiltration erleichtern.
• Ermöglicht Bedrohungsakteuren, Eindringversuche durchzuführen, ohne Zeit und Geld in die Entwicklung von Malware wie Remote Access Trojanern (auch als „RATs“ abgekürzt) investieren zu müssen, die Sicherheitstools identifizieren können
• Ermöglicht Angreifern, die Richtlinien zur Softwareverwaltung zu umgehen und möglicherweise sogar nicht genehmigte Software auf dem Zielcomputer auszuführen.
• Verwendet End-to-End-Verschlüsselung und ermöglicht Angreifern den Download von Dateien, die sonst von Unternehmens-Firewalls gestoppt würden.
• Kann mehrere gleichzeitige Angriffe unterstützen, beispielsweise über einen kompromittierten MSP

So zielen Angreifer auf den Fernzugriff ab

Nach Angaben der US-Organisation US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) können Bedrohungsakteure entweder anfällige Versionen von Fernzugriffssoftware ausnutzen oder legitime kompromittierte Konten verwenden, um die Nutzung der Tools zu kapern. Alternativ könnten sie Opfer durch Social Engineering dazu bringen, legitime RMM-Software oder ähnliches herunterzuladen. Bei ausgefeilteren Angriffen können sie einen Anbieter von Fernzugriffssoftware ins Visier nehmen und dessen Software mit bösartigen Updates manipulieren. Sie können auch PowerShell oder andere legitime Befehlszeilentools verwenden, um heimlich einen RMM-Agenten auf dem Computer des Opfers zu installieren.

Manchmal verwenden Bedrohungsakteure auch Fernzugriffssoftware in Verbindung mit Penetrationstest-Tools wie Cobalt Strike oder sogar Fernzugriffs-Malware, um Persistenz sicherzustellen. Sobald sie Zugriff auf ein Zielnetzwerk/eine Zielmaschine haben, können sie Fernzugriffssoftware verwenden, um:

• Bewegen Sie sich seitlich durch das Netzwerk des Opfers
• Finden Sie Listen mit anderen Systemen zur Lateralbewegung
• Richten Sie Befehls- und Kontrollkanäle (C2) ein

Solche Techniken werden sowohl von Cybercrime-Gruppen als auch von staatlichen Akteuren für ausgeklügelte Datendiebstahl-Operationen und Ransomware-Angriffe eingesetzt. Sie wurden bei finanziell motivierten Betrügereien gegen US-Regierungsmitarbeiter entdeckt. Ein Sicherheitsanbieter hat warnte auch über den „übermäßigen“ Einsatz von RATs, die nicht für Unternehmen geeignet sind, in OT-Umgebungen, was letztlich die Angriffsfläche der Organisationen vergrößert.

Die Studie zeigt, dass 79 % der Unternehmen mehr als zwei solcher Tools auf OT-Netzwerkgeräten installiert haben. Da diese nicht über ausreichende Zugriffskontrollen und Funktionen wie Multi-Faktor-Authentifizierung (MFA) verfügen, sind sie anfällig für Angriffe durch Bedrohungsakteure.

In der Wildnis

Es gibt in den letzten Jahren zahlreiche Beispiele für RAT-basierte Sicherheitsverletzungen mit schwerwiegenden Folgen. Dazu gehören:

• Im Februar 2024 Schwachstellen in der ungepatchten ScreenConnect-Software ausgenutzt wurden in mehreren Organisationen, um Malware auf Servern und Arbeitsstationen mit installierter Fernzugriffssoftware zu verteilen.
• Im Februar 2022 warnten CISA und das britische National Cyber ​​Security Centre (NCSC) vor einer Kampagne der iranischen APT-Gruppe MuddyWater die sowohl Cyber-Spionage als auch finanzielle Motive gehabt haben könnten. Die Bedrohungsakteure nutzten ScreenConnect für den ersten Zugriff und die laterale Bewegung.
• Im Januar 2023, CISA warnte einer Kampagne, die ScreenConnect und AnyDesk nutzte, um einen „Rückerstattungsbetrug“ bei Bundesangestellten durchzuführen. Die Kampagne nutzte Phishing-Techniken, um die Opfer dazu zu bringen, die Software als eigenständige, portable ausführbare Dateien herunterzuladen, wodurch sie Sicherheitskontrollen umgehen konnten.
• Im Juli 2024 wurde a Sicherheitsanbieter entdeckt eine modifizierte Version des Open-Source-RMM-Tools PuTTY (umbenannt in „KiTTY“), die Sicherheitskontrollen umgehen konnte. Mit dieser Taktik konnten die Bedrohungsakteure Reverse-Tunnel über Port 443 erstellen, um interne Server einer von ihnen kontrollierten AWS EC2-Box zugänglich zu machen und vertrauliche Dateien zu stehlen.

So mildern Sie Remote-Access-Angriffe

CISA listet eine Reihe host- und netzwerkbasierter Kontrollen sowie Richtlinien- und Architekturempfehlungen auf, die dazu beitragen können, die Widerstandsfähigkeit gegen solche Angriffe zu erhöhen. Dazu gehören:

• Phishing-Sensibilisierungsschulung für Mitarbeiter
• Zero-Trust- und Least-Privilege-Ansätze für Identitäts- und Endpunktsicherheit
• SecOps-Überwachung auf verdächtige Aktivitäten
• Externes Angriffsoberflächenmanagement (EASM) für bessere Transparenz bei unbekannten und nicht verwalteten Assets
• Multi-Faktor-Authentifizierung (MFA) für Fernzugriffssoftware
• Auditierung von Fernzugriffssoftware und -konfigurationen
• Anwendungskontrollen, einschließlich Zero-Trust-Prinzipien und Segmentierung, zur Verwaltung und Kontrolle der Softwareausführung
• Kontinuierliches risikobasiertes Patching
• Netzwerksegmentierung zur Begrenzung der lateralen Bewegung
• Blockieren eingehender/ausgehender Verbindungen über gängige RMM-Ports und -Protokolle
• Web App Firewalls (WAFs) zum Schutz von Remote-Access-Software

Die Sicherheitsbehörde empfiehlt Organisationen jedoch auch, „eine robuste Risikomanagementstrategie auf der Grundlage allgemeiner Standards wie dem NIST Cybersecurity Framework beizubehalten“. Javvad Malik, führender Befürworter von Sicherheitsbewusstsein bei KnowBe4, stimmt dem zu.

„Die Kernfunktionen des NIST-Frameworks bieten einen umfassenden Ansatz zum Management von RMM-Tool-Risiken“, sagt er gegenüber ISMS.online.

„Dazu gehört die Pflege eines Systeminventars mit RMM-Software, die Durchsetzung einer starken Authentifizierung, die Implementierung von Verhaltensanalysen zur Anomalieerkennung, die Entwicklung spezifischer Playbooks zur Reaktion auf Vorfälle und die Sicherstellung, dass Geschäftskontinuitätspläne die Abhängigkeiten von RMM-Tools berücksichtigen.“ Malik fügt hinzu, dass ISO 27001 auch dazu beitragen kann, die Risiken der Verwendung von Fernzugriffssoftware zu mindern.

„Die Kontrollen von ISO 27001 zu Zugriffsverwaltung, Kryptografie, Betriebssicherheit und Lieferantenbeziehungen bilden eine solide Grundlage“, erklärt er. „Unternehmen können beispielsweise formale Zugriffsverwaltungsprozesse für RMM-Tools implementieren, verschlüsselte Remote-Sitzungen sicherstellen und automatische Warnmeldungen für ungewöhnliche Aktivitäten einrichten.“

Ian Stretton, EMEA-Direktor beim Cybersicherheitsberater Green Raven, stimmt zu, dass „erfolgreiche Cybersicherheit auf soliden Grundlagen wie ISO 27001 beruht“.

Er erklärt gegenüber ISMS.online, dass ein zentraler Grundsatz solcher Ansätze die Bereitstellung einer kontinuierlichen Überwachung auf Grundlage von Bedrohungsinformationen sei.

„Dies wird noch deutlicher, da Bedrohungsakteure KI als Herausforderung für KI-basierte Verteidigungsinstrumente einsetzen“, schlussfolgert Stretton.

„Der Einsatz von Tools wie Anomalieerkennungssystemen, die gezielt auf verdächtiges Verhalten in KI-Prozessen achten – etwa Fehlklassifizierungen, plötzliche Änderungen in der Entscheidungslogik oder anderes Verhalten – kann bei der Bekämpfung dieser Art von KI-basierter Bedrohung hilfreich sein.“