> > > > Morto-Wurm greift Windows über Remote-Desktop-Funktion an

Morto-Wurm greift Windows über Remote-Desktop-Funktion an

DruckenE-Mail
Erstellt am: von

virusSeit einigen Tagen verbreitet sich ein Wurm namens Morto im Netz, der in seiner Hauptfunktion nicht etwa eine Sicherheitslücke von Windows ausnutzt, sondern versucht über das Remote Desktop Protocol (RDP) von Microsoft auf Windows-Rechner zu gelangen. Antwortet ein Rechner auf die Anfragen über den RDP-Port 3389, versucht er sich mit einfachen Passwörtern als Administrator einzuloggen um sich von dort aus weiter zu verbreiten.

Das proprietäre RDP-Protokoll wird üblicherweise für die Fernwartung von Windows-Rechnern verwendet und ist vor allem bei den Windows-Server-Varianten relevant. Bei den Windows-Versionen für Heimanwender wird der für den Angriff nötige RDP-Server erst ab den Professional-Varianten mitgeliefert und ist dort normalerweise deaktiviert. Ist der entsprechende Port offen und läuft der nötige RDP-Server, versucht der Wurm Zugriff zu erlangen, in dem er eine Liste von einfachen Standardpasswörtern abarbeitet, wie zum Beispiel 1234, 1111, admin oder password. Zwei unterschiedliche Listen finden sich bei F-Secure und bei der Wurm-Analyse von Microsoft. Es ist allerdings davon auszugehen, dass diese Listen in Zukunft noch erheblich erweitert werden können, weshalb es auch hier nötig ist individuelle und schwer erratbare Kennwörter zu verwenden.

Einmal auf den Rechner gelangt, erstellt der Wurm ein Laufwerk A: und gibt dies im Netzwerk frei. Dort legt er eine Datei a.dll ab, infiziert darüber das System und versucht sich von anderen Domains weitere Befehle und Komponenten zu holen. Er kann somit neue Befehle und Schadfunktionen empfangen und baut so ein Botnetz im herkömmlichen Sinne auf. Ebenso verbreitet er sich von den kompromittierten Rechner aus weiter und schickt selber massiv Traffic auf dem Port 3389 nach außen um weitere Rechner zu infizieren.

Erste Infektionen mit dem Wurm scheinen schon früher aufgetreten zu sein und ebenso bei anderen als den genannten Passwörtern. Es wird vermutet, dass sich der Wurm auch über eine mittlerweile gepatchte Sicherheitslücken verbreitet und sich so zumindest einen Grundstock an infizierten Rechner aufgebaut haben. Der Wurm selbst wird mittlerweile von den meisten Sicherheitsprogrammen erkannt, jedoch ist damit zu rechnen, dass im Laufe der Zeit neue Variationen neben den bereits bekannten Morto.A und Morto.B entstehen werden.

Weiterführende Links:

Social Links

Kommentare (25)

#16
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 31959
Zitat Bob.Dig;17452608
Das ist sogar ganz einfach machbar, die Windowsfirewall erlaubt solcherlei Einschränkungen, z.B. Zugang nur im Subnet. Also für mich als Homeuser würde das reichen. Ihr Corporate Guys seht das sicher aus nem anderen Blickwinkel. ;)


Das ändert ja nix an der Tatsache... Für Windows ist alles, was nicht im lokalen Netz kommt, eben nicht lokal. Ob es dabei WAN ist oder ein schnödes anderes IP Netz im LAN ist dabei nicht unterscheidbar... Und das ist der Punkt. Auch im privaten Bereich können mehrere lokale Netze angelegt sein. Die Unterscheidung ansich ist für Windows selbst nicht möglich.
Und wenn es wirklich daran scheitern sollte, der intelligente Wurm nutzt eben NAT mit ner IP aus dem lokalen LAN ;) Da wird einfach was vorgegaukelt und schon helbelst diese ganze Funktion vollkommen aus... Macht also wenig Sinn. Oder der intelligente Wurm ändert einfach den IP Header also die Source Adresse oder sonstwas. Machbar ist da viel. Sicher ist also relativ.

Was aber sicher sein sollte ist einfach den Port dicht zu machen... Und schon ist man mehr oder weniger sicher vor dem Teil.
#17
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007


Beiträge: 12892
Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.
#18
customavatars/avatar38823_1.gif
Registriert seit: 18.04.2006
Braunschweig
Flottillenadmiral
Beiträge: 4399
nur mal so, selbst wenn die Windows Firewall an sich es nicht unterscheiden würde, mittlerweile hängt doch faktisch jeder hinter nem Router mit Firewall. Und ohne dass der Port in dem Router freigegeben ist, wäre der PC dahinter über den Port nicht erreichbar. Und der 3386 wurde zumindest bei meinen Routern definitiv nicht selbstständig weitergeleitet.
#19
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007


Beiträge: 12892
@ Wolf7
http://www.hardwareluxx.de/community/f67/morto-wurm-greift-windows-ueber-remote-desktop-funktion-832702.html#post17447464 ;)
#20
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 31959
Zitat Bob.Dig;17457148
Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.


Nochmal, woher soll Windows das unterscheiden!?
Entweder du machst die Firewall auf, oder eben nicht. Ist sie zu, geht kein RDP. Ist sie auf, ist es für die Windows Firewall ziemlich egal, von wo die Anfrage kommt, das kann sie nicht unterscheiden. Und selbst wenn sie es könnte, kann der intelligente Angreifer eben die Source IP im IP Header einfach umbiegen...
Oder er arbeitet mit NAT oder ähnlichen...

Wirksamer Schutz ist das nicht... ;)

Übrigens, gerade dieser Angreifer zielt doch offensichtlich gerade auf Firmennetze. Denn idR gibts Zuhause die Homeeditions von Windows. Ohne RDP. Mal sollte also auch in diesen Dimensionen denken... ;)
#21
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007


Beiträge: 12892
Allerdings kann sie das wie schon gesagt und einfach IP umbiegen, wie soll so eine Wörterbuch-Attacke dann aussehen? Ich finde du vereinfachst das etwas zu sehr. In einem großen Intranet mag da aber mehr gehen.

#22
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 31959
Das hat doch nix mit der größe der Subnetze zu tun ;)

Und das was du dort ansprichst im Bild. Im Grunde ist der Sinn dort ein anderer... Denn dort gehts um Source und Destination Eingrenzungen für Regeln. Das kann jede Firewall ;) Zumindest sollte sie können.
Aber das hat immernoch nix mit lokales LAN oder WAN zu tun bzw. mit deiner Aussage, das MS sich hier nicht clever genug anstellt. Auch ist dieses Feature eher im Firmenumfeld interessant, wo man mit fixen IPs (auch im WAN) arbeitet.
So kann man zum Beispiel einem Mailserver, der Mails ausschließlich von einem Relay weitergeleitet bekommt eine Firewall Regel erstellen, das SMTP Traffic (TCP Port 25) ausschließlich von IP xxx.xxx.xxx.xxx angenommen wird.
Oder halt auch dem RDP Beispiel, das die Regel eben nur für dort definierte Adressen gilt. Aber es ist halt immernoch händische Arbeit gefragt, um das zu pflegen, weil die Unterscheidung selbst für Windows ansich nicht machbar ist.
#23
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007


Beiträge: 12892
Für den Heimbereich natürlich und nur von dem sprach ich, alles was nicht aus dem selben Subnet ist, ist aus dem Internet, es sei denn, vpn läuft noch. Dass das jede Firewall kann ist mir auch klar. Von der von Win erwarte ich, dass sie es von sich aus so einstellt. Mag aber sein, dass das Augenmerk hier auf Unternehmen liegt und von deren Infrastruktur habe ich keinen Plan. Hab ich jetzt aber auch schon oft genug gesagt.
#24
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 31959
Ich wollte dir damit ja auch nur sagen, das es für Windows selbst eben schwer bis unmöglich ist, die Unterscheidung selbstständig zu treffen. ;) da Windows eben sich nicht ins Hirn des Users einklinken kann um zu sehen, was will der denn von mir genau...
Deshalb bin ich der Meinung, du erwartest zu viel ;)
#25
customavatars/avatar46485_1.gif
Registriert seit: 02.09.2006
Hamburg
Kapitänleutnant
Beiträge: 1962
Bei der üblichen Konfiguration einer Internet-Verbindung über einen Router wird die local subnet nichts bringen, da in dem Fall die LAN-IP des Routers als Absender drin steht und die gehört eben auch zum local subnet. Aber solange man die Remote-Desktop-Funktion nicht angeschaltet hat und zusätzlich noch eine Port-Weiterleitung im Router eingestellt hat, sollte das eigentlich nur eine Minderheit betreffen und die Leute die es betrifft können den Port ja einfach ändern, entweder direkt oder über eine Weiterleitung auf dem Router.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Unitymedia möchte Endkundenanschlüsse in öffentliche Wi-Fi-Hotspots umwandeln

Logo von UNITYMEDIA-LOGO

Der in Nordrhein-Westfahlen, Hessen und Baden-Württemberg aktive Kabelnetzprovider Unitymedia plant 1,5 Millionen Endkundenanschlüsse mit seinem WLAN-Router gleichzeitig in öffentliche Wi-Fi-Hotspots zu verwandeln. Wer als Kunde dabei mitmacht, bekommt unabhängig vom Standort, Tarif oder... [mehr]

ProSiebenSat.1 schaltet MyVideo ab (Update: MyVideo wird nur umstrukturiert)

Logo von IMAGES/STORIES/LOGOS-2013/PRO7SAT1MEDIA

Das Videoportal MyVideo wurde einst von der ProSiebenSat.1-Gruppe als Konkurrenz zu YouTube aufgebaut. Das Portal konnte sich gegen die amerikanische Konkurrenz jedoch nie wirklich durchsetzen – die Verantwortlichen ziehen nun den Stecker. Laut einer Meldung werde das Projekt vorübergehend... [mehr]

Routerzwang: Unitymedia nennt Details zum Einsatz eines eigenen Gerätes

Logo von UNITYMEDIA-LOGO

Ab dem 1. August 2016 wird der Routerzwang für die Internetanbieter endgültig Geschichte sein und die Kunden können dann auch eigene Geräte einsetzen. Während bei herkömmlichen DSL-Anschlüssen die Umstellung problemlos verlaufen dürfte, werden die Kunden bei Kabelanschlüssen etwas... [mehr]

10-GBit/s-Internetanschluss für Privatkunden in Estland

Logo von IMAGES/STORIES/LOGOS-2016/STARMAN

Immer wieder führen die Internetanbieter in Deutschland die bereits bestehende, gute Infrastruktur an, wenn es um die niedrigen Zahlen der FTTH/B/C-Anschlüsse geht. Dass es sich dabei größtenteils um Augenwischerei handelt und Anschlüsse mit mehr als 50 MBit/s weiterhin rar gesät sind, egal... [mehr]

Internet: Provider müssen zukünftig exakte Übertragungsrate angeben

Logo von IMAGES/STORIES/LOGOS-2015/HARDWARELUXX_NEWS_NEW

Bei den meisten Verträgen zwischen Kunden und Internetanbietern geben die Provider meist nur die maximal erreichbare Geschwindigkeit an. Ob die Übertragungsrate letztendlich am eigenen Anschluss erreicht wird, wird von den Anbietern nicht vertraglich zugesichert. Dieses Problem könnte sich... [mehr]

VDSL-Vectoring: Telekom startet im Herbst mit 100 Mbit/s in Hamburg

Logo von IMAGES/STORIES/LOGOS-2015/TELEKOM2

Mit VDSL-Vectoring möchte die Deutsche Telekom die Geschwindigkeit des Netzes deutlich steigern. Wie das Unternehmen bekannt gibt, wird mit Hamburg ab Herbst die erste Großstadt mit dem schnellen Internet ausgebaut. Die Anschlüsse sollen dann eine Geschwindigkeit von bis zu 100 Mbit/s im Down-... [mehr]