Kriminelle setzen oft auf Standard-Passwörter
Im Projekt Heisenberg haben Honeypots einen RDP-Port angeboten. Sicherheitsforscher werteten im weiteren Verlauf die Login-Daten von Angreifern aus.
(Bild: dpa, Julian Stratenschulte)
- Uli Ries
Über ein Jahr lang haben Sicherheitsforscher von Rapid 7 mit einem weltweit verteilten Netz aus Honeypots (Projektname: Heisenberg) die Login-Daten gesammelt, mit denen sich Angreifer am angebotenen RDP (Remote Desktop Protocol)-Port einloggen wollten.
Die Auswertung zeigt, dass quasi alle der über 220.000 Loginversuche opportunistischer Natur waren und keine zielgerichteten Angriffe. Dafür spreche laut Tod Beardsley, Security Research Manager bei Rapid 7, dass die Honeypots nicht in IP-Bereichen zu finden sind, die bekannten Unternehmen zu zuordnen wären. Die zum Login verwendeten Kombinationen aus Nutzernamen und Passwörtern lassen zudem darauf schließen, dass die Angreifer per Skript stumpf die bekannten Default-Logindaten von Point-of-Sale (POS)-Systemen durchprobieren.
Auf gut Glück
An der Spitze der Top 10 der meist verwendeten Passwörter – insgesamt sammelten die Honeypots über 3600 verschiedene Kennwörter ein – stehen "x", "Zz" und "St@rt123". Diese lassen sich Beardsley zufolge POS-Systemen zuordnen. Die meist verwendeten Nutzernamen sind "Administrator", "administrator" und "User1". Dabei fällt auf, dass den Angreifern offenbar unbekannt ist, dass RDP beim Nutzernamen nicht nach Groß- und Kleinschreibung unterscheidet.
Beim Analysieren der Daten fiel den Forschern auf, dass die etwas komplexeren Kennwörter nicht in gängigen Datenbanken mit geleakten Passwörtern stehen. Die Angreifer müssen demnach andere Quellen haben. Wie Tod Beardsley im Gespräch erläuterte, fänden sich die Logindaten oftmals auch nicht in den Handbüchern der POS- und Kiosk-Systeme. Dies deute auf Insider hin, die die Logindaten zugänglich machen.
11 Millionen offene RDP-Endpunkte
Rapid 7 scannt laufend im Rahmen von Project Sonar den kompletten IP-Bereich des Internets. Im Februar fanden sich laut Beardsley über 11 Millionen offene RDP-Endpunkte im Netz. Darunter dürften sich etliche der angesprochenen POS-Systeme finden, aber auch Rechner von privaten Nutzern. Diese verwenden dem Experten zufolge RDP als günstigen VPN-Ersatz. Oder aber, sie fielen auf einen der gängigen Betrugsanrufe von vermeintlichen IT-Technikern herein, die ihre Opfer dann dazu bringen, RDP zu aktivieren.
Die Forscher wollen sich ab sofort daran machen, die Hersteller der betroffenen POS-Systeme auf die Scans aufmerksam machen. In der Hoffnung, dass diese die Default-Passwörter ändern beziehungsweise nur den erstmaligen Login damit erlauben. Angesichts der vergleichsweise simplen Angriffe zeigt sich Beardsley zuversichtlich, dass Anwender die Attacken kontern können, wenn sie entsprechend sichere Kennwörter wählen. (des)
