> > > > Morto-Wurm greift Windows über Remote-Desktop-Funktion an

Morto-Wurm greift Windows über Remote-Desktop-Funktion an

Veröffentlicht am: von

virusSeit einigen Tagen verbreitet sich ein Wurm namens Morto im Netz, der in seiner Hauptfunktion nicht etwa eine Sicherheitslücke von Windows ausnutzt, sondern versucht über das Remote Desktop Protocol (RDP) von Microsoft auf Windows-Rechner zu gelangen. Antwortet ein Rechner auf die Anfragen über den RDP-Port 3389, versucht er sich mit einfachen Passwörtern als Administrator einzuloggen um sich von dort aus weiter zu verbreiten.

Das proprietäre RDP-Protokoll wird üblicherweise für die Fernwartung von Windows-Rechnern verwendet und ist vor allem bei den Windows-Server-Varianten relevant. Bei den Windows-Versionen für Heimanwender wird der für den Angriff nötige RDP-Server erst ab den Professional-Varianten mitgeliefert und ist dort normalerweise deaktiviert. Ist der entsprechende Port offen und läuft der nötige RDP-Server, versucht der Wurm Zugriff zu erlangen, in dem er eine Liste von einfachen Standardpasswörtern abarbeitet, wie zum Beispiel 1234, 1111, admin oder password. Zwei unterschiedliche Listen finden sich bei F-Secure und bei der Wurm-Analyse von Microsoft. Es ist allerdings davon auszugehen, dass diese Listen in Zukunft noch erheblich erweitert werden können, weshalb es auch hier nötig ist individuelle und schwer erratbare Kennwörter zu verwenden.

Einmal auf den Rechner gelangt, erstellt der Wurm ein Laufwerk A: und gibt dies im Netzwerk frei. Dort legt er eine Datei a.dll ab, infiziert darüber das System und versucht sich von anderen Domains weitere Befehle und Komponenten zu holen. Er kann somit neue Befehle und Schadfunktionen empfangen und baut so ein Botnetz im herkömmlichen Sinne auf. Ebenso verbreitet er sich von den kompromittierten Rechner aus weiter und schickt selber massiv Traffic auf dem Port 3389 nach außen um weitere Rechner zu infizieren.

Erste Infektionen mit dem Wurm scheinen schon früher aufgetreten zu sein und ebenso bei anderen als den genannten Passwörtern. Es wird vermutet, dass sich der Wurm auch über eine mittlerweile gepatchte Sicherheitslücken verbreitet und sich so zumindest einen Grundstock an infizierten Rechner aufgebaut haben. Der Wurm selbst wird mittlerweile von den meisten Sicherheitsprogrammen erkannt, jedoch ist damit zu rechnen, dass im Laufe der Zeit neue Variationen neben den bereits bekannten Morto.A und Morto.B entstehen werden.

Weiterführende Links:

Social Links

Kommentare (25)

#16
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 33765
Zitat Bob.Dig;17452608
Das ist sogar ganz einfach machbar, die Windowsfirewall erlaubt solcherlei Einschränkungen, z.B. Zugang nur im Subnet. Also für mich als Homeuser würde das reichen. Ihr Corporate Guys seht das sicher aus nem anderen Blickwinkel. ;)


Das ändert ja nix an der Tatsache... Für Windows ist alles, was nicht im lokalen Netz kommt, eben nicht lokal. Ob es dabei WAN ist oder ein schnödes anderes IP Netz im LAN ist dabei nicht unterscheidbar... Und das ist der Punkt. Auch im privaten Bereich können mehrere lokale Netze angelegt sein. Die Unterscheidung ansich ist für Windows selbst nicht möglich.
Und wenn es wirklich daran scheitern sollte, der intelligente Wurm nutzt eben NAT mit ner IP aus dem lokalen LAN ;) Da wird einfach was vorgegaukelt und schon helbelst diese ganze Funktion vollkommen aus... Macht also wenig Sinn. Oder der intelligente Wurm ändert einfach den IP Header also die Source Adresse oder sonstwas. Machbar ist da viel. Sicher ist also relativ.

Was aber sicher sein sollte ist einfach den Port dicht zu machen... Und schon ist man mehr oder weniger sicher vor dem Teil.
#17
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007

GUI-abhängig
Beiträge: 13808
Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.
#18
customavatars/avatar38823_1.gif
Registriert seit: 18.04.2006
Braunschweig
Flottillenadmiral
Beiträge: 4778
nur mal so, selbst wenn die Windows Firewall an sich es nicht unterscheiden würde, mittlerweile hängt doch faktisch jeder hinter nem Router mit Firewall. Und ohne dass der Port in dem Router freigegeben ist, wäre der PC dahinter über den Port nicht erreichbar. Und der 3386 wurde zumindest bei meinen Routern definitiv nicht selbstständig weitergeleitet.
#19
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007

GUI-abhängig
Beiträge: 13808
@ Wolf7
http://www.hardwareluxx.de/community/f67/morto-wurm-greift-windows-ueber-remote-desktop-funktion-832702.html#post17447464 ;)
#20
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 33765
Zitat Bob.Dig;17457148
Na halt, jetzt übertreibst aber. Die meisten User hier haben außerdem genau ein LAN und da schützt die Win-Firewall schon wirksam, wenn das was aus dem WAN käme. Zumindest dann, wenn sie sich richtig verhalten würde, nämlich RDP erst mal nur im LAN. Meine Ansicht.


Nochmal, woher soll Windows das unterscheiden!?
Entweder du machst die Firewall auf, oder eben nicht. Ist sie zu, geht kein RDP. Ist sie auf, ist es für die Windows Firewall ziemlich egal, von wo die Anfrage kommt, das kann sie nicht unterscheiden. Und selbst wenn sie es könnte, kann der intelligente Angreifer eben die Source IP im IP Header einfach umbiegen...
Oder er arbeitet mit NAT oder ähnlichen...

Wirksamer Schutz ist das nicht... ;)

Übrigens, gerade dieser Angreifer zielt doch offensichtlich gerade auf Firmennetze. Denn idR gibts Zuhause die Homeeditions von Windows. Ohne RDP. Mal sollte also auch in diesen Dimensionen denken... ;)
#21
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007

GUI-abhängig
Beiträge: 13808
Allerdings kann sie das wie schon gesagt und einfach IP umbiegen, wie soll so eine Wörterbuch-Attacke dann aussehen? Ich finde du vereinfachst das etwas zu sehr. In einem großen Intranet mag da aber mehr gehen.

#22
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 33765
Das hat doch nix mit der größe der Subnetze zu tun ;)

Und das was du dort ansprichst im Bild. Im Grunde ist der Sinn dort ein anderer... Denn dort gehts um Source und Destination Eingrenzungen für Regeln. Das kann jede Firewall ;) Zumindest sollte sie können.
Aber das hat immernoch nix mit lokales LAN oder WAN zu tun bzw. mit deiner Aussage, das MS sich hier nicht clever genug anstellt. Auch ist dieses Feature eher im Firmenumfeld interessant, wo man mit fixen IPs (auch im WAN) arbeitet.
So kann man zum Beispiel einem Mailserver, der Mails ausschließlich von einem Relay weitergeleitet bekommt eine Firewall Regel erstellen, das SMTP Traffic (TCP Port 25) ausschließlich von IP xxx.xxx.xxx.xxx angenommen wird.
Oder halt auch dem RDP Beispiel, das die Regel eben nur für dort definierte Adressen gilt. Aber es ist halt immernoch händische Arbeit gefragt, um das zu pflegen, weil die Unterscheidung selbst für Windows ansich nicht machbar ist.
#23
customavatars/avatar63700_1.gif
Registriert seit: 10.05.2007

GUI-abhängig
Beiträge: 13808
Für den Heimbereich natürlich und nur von dem sprach ich, alles was nicht aus dem selben Subnet ist, ist aus dem Internet, es sei denn, vpn läuft noch. Dass das jede Firewall kann ist mir auch klar. Von der von Win erwarte ich, dass sie es von sich aus so einstellt. Mag aber sein, dass das Augenmerk hier auf Unternehmen liegt und von deren Infrastruktur habe ich keinen Plan. Hab ich jetzt aber auch schon oft genug gesagt.
#24
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
SN
Moderator
Beiträge: 33765
Ich wollte dir damit ja auch nur sagen, das es für Windows selbst eben schwer bis unmöglich ist, die Unterscheidung selbstständig zu treffen. ;) da Windows eben sich nicht ins Hirn des Users einklinken kann um zu sehen, was will der denn von mir genau...
Deshalb bin ich der Meinung, du erwartest zu viel ;)
#25
customavatars/avatar46485_1.gif
Registriert seit: 02.09.2006
Hamburg
Kapitänleutnant
Beiträge: 1963
Bei der üblichen Konfiguration einer Internet-Verbindung über einen Router wird die local subnet nichts bringen, da in dem Fall die LAN-IP des Routers als Absender drin steht und die gehört eben auch zum local subnet. Aber solange man die Remote-Desktop-Funktion nicht angeschaltet hat und zusätzlich noch eine Port-Weiterleitung im Router eingestellt hat, sollte das eigentlich nur eine Minderheit betreffen und die Leute die es betrifft können den Port ja einfach ändern, entweder direkt oder über eine Weiterleitung auf dem Router.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Telekom baut VDSL-Anschlüsse zurück und kündigt 30.000 Anschlüsse

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Kurz vor dem Wochenende tauchten die ersten Meldungen über massenhaft gekündigte VDSL-Anschlüsse in Niedersachsen auf. 30.000 Anschlüsse sollen dort davon betroffen sein. Als Grund werden fehlgeschlagene Verhandlungen mit EWE über einen Mietvertrag für VDSL-Leitungen... [mehr]

MagentaZuhause GIGA: Gigabit per Glasfaseranschluss von der Telekom

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM

Die immer wieder wegen des schleppenden Glasfaserausbaus in der Kritik stehende Deutsche Telekom hat auf der IFA einen neuen Tarif für ihre bestehenden Glasfaseranschlüsse angekündigt, der in Teilen auch endlich das Potenzial der Glasfasertechnik nutzen soll. Der neue Tarif namens... [mehr]

Cloudflare bietet unter 1.1.1.1 einen offenen DNS an

Logo von IMAGES/STORIES/2017/DNS-1111

Wann immer eine Internetadresse wie www.hardwareluxx.de im Browser eingegeben wird, sorgt das Domain Name System (DNS) für die Namensauflösung in die entsprechende IP-Adresse des Servers. Ohne DNS bestünde unser Internet nur aus IP-Adressen, was spätestens im Falle von IPv6 zu... [mehr]

Mozilla Firefox befindet sich auf direktem Weg in die Nische

Logo von IMAGES/STORIES/2017/MOZILLA_FIREFOX

Mozilla Firefox war eine ganze Zeit lang auf Erfolgskurs. Doch in den letzten Jahren ging es für den Browser immer weiter bergab: Die Marktanteile im Desktop-Bereich schwinden und auf Smartphones und Tablets ist zumindest unter Android aktuell zwar ein Wachstum zu verbuchen, im direkten... [mehr]

Landesmedienanstalt NRW fordert weitere Streamer auf Rundfunklizenzen zu...

Logo von IMAGES/STORIES/2017/LANDESMEDIENANSTALT

Die Landesmedienanstalt NRW verschickt aktuell wieder Briefe an Streamer im deutschen Bundesland. In der Vergangenheit wurden von der Behörde bereits bekannte Let‘s-Player wie Gronkh und PietSmiet aufgefordert eine Rundfunklizenz zu beantragen oder andernfalls mit hohen Bußgeldern zu... [mehr]

Schweizer ISP bietet 10 GBit/s für 34 Euro

Logo von IMAGES/STORIES/2017/DEUTSCHE_TELEKOM_BREITBAND_GLASFASER

Während in Deutschland über eine flächendeckende Internetversorgung mit mindestens 50 MBit/s gesprochen wird und WLAN in Bussen bis 2050 diskutiert wird, sind andere Länder schon weiter. Die neue Bundesregierung hat zumindest schon einmal den Ausbau der digitalen Infrastruktur in den Fokus... [mehr]