Hardwareluxx > News > Software > Browser und Internet > Morto-Wurm greift Windows über Remote-Desktop-Funktion an

Morto-Wurm greift Windows über Remote-Desktop-Funktion an

PDFDruckenE-Mail

Erstellt am: von
Alexander Spier

virusSeit einigen Tagen verbreitet sich ein Wurm namens Morto im Netz, der in seiner Hauptfunktion nicht etwa eine Sicherheitslücke von Windows ausnutzt, sondern versucht über das Remote Desktop Protocol (RDP) von Microsoft auf Windows-Rechner zu gelangen. Antwortet ein Rechner auf die Anfragen über den RDP-Port 3389, versucht er sich mit einfachen Passwörtern als Administrator einzuloggen um sich von dort aus weiter zu verbreiten.

Das proprietäre RDP-Protokoll wird üblicherweise für die Fernwartung von Windows-Rechnern verwendet und ist vor allem bei den Windows-Server-Varianten relevant. Bei den Windows-Versionen für Heimanwender wird der für den Angriff nötige RDP-Server erst ab den Professional-Varianten mitgeliefert und ist dort normalerweise deaktiviert. Ist der entsprechende Port offen und läuft der nötige RDP-Server, versucht der Wurm Zugriff zu erlangen, in dem er eine Liste von einfachen Standardpasswörtern abarbeitet, wie zum Beispiel 1234, 1111, admin oder password. Zwei unterschiedliche Listen finden sich bei F-Secure und bei der Wurm-Analyse von Microsoft. Es ist allerdings davon auszugehen, dass diese Listen in Zukunft noch erheblich erweitert werden können, weshalb es auch hier nötig ist individuelle und schwer erratbare Kennwörter zu verwenden.

Einmal auf den Rechner gelangt, erstellt der Wurm ein Laufwerk A: und gibt dies im Netzwerk frei. Dort legt er eine Datei a.dll ab, infiziert darüber das System und versucht sich von anderen Domains weitere Befehle und Komponenten zu holen. Er kann somit neue Befehle und Schadfunktionen empfangen und baut so ein Botnetz im herkömmlichen Sinne auf. Ebenso verbreitet er sich von den kompromittierten Rechner aus weiter und schickt selber massiv Traffic auf dem Port 3389 nach außen um weitere Rechner zu infizieren.

Erste Infektionen mit dem Wurm scheinen schon früher aufgetreten zu sein und ebenso bei anderen als den genannten Passwörtern. Es wird vermutet, dass sich der Wurm auch über eine mittlerweile gepatchte Sicherheitslücken verbreitet und sich so zumindest einen Grundstock an infizierten Rechner aufgebaut haben. Der Wurm selbst wird mittlerweile von den meisten Sicherheitsprogrammen erkannt, jedoch ist damit zu rechnen, dass im Laufe der Zeit neue Variationen neben den bereits bekannten Morto.A und Morto.B entstehen werden.

Weiterführende Links:

Social Links

Kommentare (25)

Mittwoch, 31. August 2011 - 16:06
#16
fdsonne
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 22611
Bob.Dig: Das ist sogar ganz einfach machbar, die Windowsfirewall erlaubt solcherlei Einschränkungen, z.B. Zugang nur im Subnet. Also für mich als Homeuser würde das reichen. Ihr Corporate Guys seht das sicher aus nem anderen Blickwinkel. ;)


Das ändert ja nix an der Tatsache... Für Windows ist alles, was nicht im lokalen Netz kommt, eben nicht lokal. Ob es dabei WAN ist oder ein schnödes anderes IP Netz im LAN ist dabei nicht unterscheidbar... Und das ist der Punkt. Auch im privaten Bereich können mehrere lokale Netze angelegt sein. Die Unterscheidung ansich ist für Windows selbst nicht möglich.
Und wenn es wirklich daran scheitern sollte, der intelligente Wurm nutzt eben NAT mit ner IP aus dem lokalen LAN ;) Da wird einfach was vorgegaukelt und schon helbelst diese ganze Funktion vollkommen aus... Macht also wenig Sinn. Oder der intelligente Wurm ändert einfach den IP Header also die Source Adresse oder sonstwas. Machbar ist da viel. Sicher ist also relativ.

Was aber sicher sein sollte ist einfach den Port dicht zu machen... Und schon ist man mehr oder weniger sicher vor dem Teil.
quote - reply
Mittwoch, 31. August 2011 - 16:18
#17
Bob.Dig
Registriert seit: 10.05.2007
127.0.0.1

Beiträge: 7512
Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.
quote - reply
Mittwoch, 31. August 2011 - 17:52
#18
Wolf7
Registriert seit: 18.04.2006
Freiberg (Sachsen)
Fregattenkapitän
Beiträge: 2964
nur mal so, selbst wenn die Windows Firewall an sich es nicht unterscheiden würde, mittlerweile hängt doch faktisch jeder hinter nem Router mit Firewall. Und ohne dass der Port in dem Router freigegeben ist, wäre der PC dahinter über den Port nicht erreichbar. Und der 3386 wurde zumindest bei meinen Routern definitiv nicht selbstständig weitergeleitet.
quote - reply
Mittwoch, 31. August 2011 - 20:14
#19
Bob.Dig
Registriert seit: 10.05.2007
127.0.0.1

Beiträge: 7512
@ Wolf7
[url]http://www.hardwareluxx.de/community/f67/morto-wurm-greift-windows-ueber-remote-desktop-funktion-832702.html#post17447464[/url] ;)
quote - reply
Mittwoch, 31. August 2011 - 22:04
#20
fdsonne
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 22611
Bob.Dig: Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.


Nochmal, woher soll Windows das unterscheiden!?
Entweder du machst die Firewall auf, oder eben nicht. Ist sie zu, geht kein RDP. Ist sie auf, ist es für die Windows Firewall ziemlich egal, von wo die Anfrage kommt, das kann sie nicht unterscheiden. Und selbst wenn sie es könnte, kann der intelligente Angreifer eben die Source IP im IP Header einfach umbiegen...
Oder er arbeitet mit NAT oder ähnlichen...

Wirksamer Schutz ist das nicht... ;)

Übrigens, gerade dieser Angreifer zielt doch offensichtlich gerade auf Firmennetze. Denn idR gibts Zuhause die Homeeditions von Windows. Ohne RDP. Mal sollte also auch in diesen Dimensionen denken... ;)
quote - reply
Mittwoch, 31. August 2011 - 22:11
#21
Bob.Dig
Registriert seit: 10.05.2007
127.0.0.1

Beiträge: 7512
Allerdings kann sie das wie schon gesagt und einfach IP umbiegen, wie soll so eine Wörterbuch-Attacke dann aussehen? Ich finde du vereinfachst das etwas zu sehr. In einem großen Intranet mag da aber mehr gehen.

[IMG]http://h7.abload.de/img/capturegu14.png[/IMG]
quote - reply
Donnerstag, 01. September 2011 - 12:14
#22
fdsonne
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 22611
Das hat doch nix mit der größe der Subnetze zu tun ;)

Und das was du dort ansprichst im Bild. Im Grunde ist der Sinn dort ein anderer... Denn dort gehts um Source und Destination Eingrenzungen für Regeln. Das kann jede Firewall ;) Zumindest sollte sie können.
Aber das hat immernoch nix mit lokales LAN oder WAN zu tun bzw. mit deiner Aussage, das MS sich hier nicht clever genug anstellt. Auch ist dieses Feature eher im Firmenumfeld interessant, wo man mit fixen IPs (auch im WAN) arbeitet.
So kann man zum Beispiel einem Mailserver, der Mails ausschließlich von einem Relay weitergeleitet bekommt eine Firewall Regel erstellen, das SMTP Traffic (TCP Port 25) ausschließlich von IP xxx.xxx.xxx.xxx angenommen wird.
Oder halt auch dem RDP Beispiel, das die Regel eben nur für dort definierte Adressen gilt. Aber es ist halt immernoch händische Arbeit gefragt, um das zu pflegen, weil die Unterscheidung selbst für Windows ansich nicht machbar ist.
quote - reply
Donnerstag, 01. September 2011 - 13:16
#23
Bob.Dig
Registriert seit: 10.05.2007
127.0.0.1

Beiträge: 7512
Für den Heimbereich natürlich und nur von dem sprach ich, alles was nicht aus dem selben Subnet ist, ist aus dem Internet, es sei denn, vpn läuft noch. Dass das jede Firewall kann ist mir auch klar. Von der von Win erwarte ich, dass sie es von sich aus so einstellt. Mag aber sein, dass das Augenmerk hier auf Unternehmen liegt und von deren Infrastruktur habe ich keinen Plan. Hab ich jetzt aber auch schon oft genug gesagt.
quote - reply
Donnerstag, 01. September 2011 - 14:40
#24
fdsonne
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 22611
Ich wollte dir damit ja auch nur sagen, das es für Windows selbst eben schwer bis unmöglich ist, die Unterscheidung selbstständig zu treffen. ;) da Windows eben sich nicht ins Hirn des Users einklinken kann um zu sehen, was will der denn von mir genau...
Deshalb bin ich der Meinung, du erwartest zu viel ;)
quote - reply
Donnerstag, 01. September 2011 - 18:02
#25
orpheus88
Registriert seit: 02.09.2006
Hamburg
Kapitänleutnant
Beiträge: 1920
Bei der üblichen Konfiguration einer Internet-Verbindung über einen Router wird die local subnet nichts bringen, da in dem Fall die LAN-IP des Routers als Absender drin steht und die gehört eben auch zum local subnet. Aber solange man die Remote-Desktop-Funktion nicht angeschaltet hat und zusätzlich noch eine Port-Weiterleitung im Router eingestellt hat, sollte das eigentlich nur eine Minderheit betreffen und die Leute die es betrifft können den Port ja einfach ändern, entweder [URL="http://support.microsoft.com/kb/306759/de"]direkt[/URL] oder über eine Weiterleitung auf dem Router.
quote - reply
Um Kommentare schreiben zu können, musst Du eingeloggt sein!