![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
F\u00fcr Blog-Leser\/innen, die gelangweilt im B\u00fcro oder zuhause herumsitzen und vor Langeweile sterben, noch einige Sicherheitssplitter als Weihnachtsvorbereitung \u2013 notfalls ab Heiligabend lesen, falls keine Zeit ist.<\/p>\nF\u00fcr Blog-Leser\/innen, die gelangweilt im B\u00fcro oder zuhause herumsitzen und vor Langeweile sterben, noch einige Sicherheitssplitter als Weihnachtsvorbereitung \u2013 notfalls ab Heiligabend lesen, falls keine Zeit ist.<\/p>\n
<\/p>\n
Das Windows Remote Desktop-Protokoll (RDP) wird zunehmend von Cyber-Kriminellen missbraucht, um Malware auf Windows-Zielsystemen einzuschleusen. Dabei kommt einer fileless-Malsware, die keine Dateien ben\u00f6tigt, sondern im Speicher ausgef\u00fchrt wird, eine steigende Bedeutung zu.<\/p>\n
Crypto-Geld-Miner, Info-Stealer-Programme oder auch Ransomware werden \u00fcber eine Remote-Verbindung im RAM des Zielrechner ausgef\u00fchrt. Das hinterl\u00e4sst keine Informationen im Dateisystem und erm\u00f6glicht der Malware auch, n\u00fctzliche Informationen von kompromittierten Rechnern zu exfiltrieren.<\/p>\n
![\"Network-Shares\"](\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1100723\/RDPDriveShare-Bitdefender.png\" "\\"Network-Shares\\"")
\n(Quelle: Bleeping Computer)<\/p>\n
Die Angreifer nutzten ein Feature<\/a> der Windows Remote Desktop Services, das es einem Client erlaubt, lokale Laufwerke mit Lese- und Schreibrechten f\u00fcr einen Terminalserver freizugeben. Diese Laufwerke erscheinen auf dem Server als eine Freigabe an einem virtuellen Netzwerkstandort namens \"tsclient\", gefolgt vom Laufwerksbuchstaben, und k\u00f6nnen lokal zugeordnet werden.<\/p>\n Der Zugriff auf die auf diese Weise gemeinsam genutzten Ressourcen ist \u00fcber RDP m\u00f6glich und es wird keine Spur auf der Festplatte<\/a> des Client-Rechners hinterlassen, wenn Anwendungen im Speicher ausgef\u00fchrt werden. Wenn eine RDP-Sitzung beendet wird, werden auch die zugeh\u00f6rigen Prozesse beendet und der Speicher wird normalerweise freigegeben.<\/p>\n Die Malware-Analysten von Bitdefender fanden heraus<\/a>, dass Angreifer diese Funktion nutzen und mehrere Malware verschiedener Typen zusammen mit einer Komponente namens \"worker.exe\" ablegen, die dann vom Angreifer \u00fcber Anweisungen gesteuert wird. \u00dcber diesen Ansatz k\u00f6nnen Informationen \u00fcber das Zielsystem gesammelt und weitere Sauereien veranstaltet werden.<\/p>\n Obige Karte zeigt, in welchen L\u00e4ndern Rechner infiziert sind. Neben den USA scheint auch Deutschland ganz gut dabei zu sein. Neben dem oben verlinkten Bitdefender PDF-Bericht hat Bleeping Computer hier eine Zusammenfassung<\/a> ver\u00f6ffentlicht.<\/p>\n OilRig<\/a> ist eine dem Iran zugeschriebene staatsnahe Hackergruppe, die im nahen Osten Industrieunternehmen und \u00d6lf\u00f6rderungsanlagen mit Cyber-Angriffen \u00fcberzieht (siehe auch hier<\/a>).<\/p>\n #OilRig<\/a> targets LANDesk Agent users via PowDesk – New PowerShell-based malware resembles QUADAGENT. \u2014 ClearSky Cyber Security (@ClearskySec) December 23, 2019<\/a><\/p><\/blockquote>\n![\"](\"https:\/\/www.bleepstatic.com\/images\/news\/u\/1100723\/WorkerEXE-Victims-Bitdefender.png\" "\\"")
\n(Quelle: Bitdefender\/Bleeping Computer)<\/p>\nOilRig zielt auf LANDesk Agent-Nutzer<\/h2>\n
\n
\nPowDesk checks for the presence of LANDesk Agent folder and service before C&C beacon.
\nFull analysis coming soon.https:\/\/t.co\/vOFC9BKb6h<\/a>
\nlcepos[.]com\/php\/reclaimlandesk[.]php pic.twitter.com\/Fqw0RoWU56<\/a><\/p>\n