Technik des Angriffs
RPC-Angriffe
RPC ist ein weit verbreitetes Protokoll für die Kommunikation zwischen Systemen in Unternehmensnetzen. Es ist auch ein Hauptziel für Angreifer.
Definition
Was ist ein RPC-Angriff?
Diese Art von Angriff nutzt den Remote Procedure Call (RPC) aus - ein Protokoll, das es einem Computerprogramm ermöglicht, einen Dienst anzufordern oder eine Prozedur in einem anderen Programm auf einem entfernten Computer auszuführen. Unternehmen nutzen es, damit vernetzte Systeme kommunizieren und Operationen durchführen können, ohne dass detaillierte Kenntnisse über die Struktur des anderen Programms oder die Besonderheiten des Netzwerks erforderlich sind.
RPC wird zwar häufig verwendet, um die Kommunikation zwischen Betriebssystemen zu vereinfachen, stellt aber auch eine erhebliche Schwachstelle dar, die Angreifer ausnutzen können. Bei RPC-Angriffen nutzen Angreifer das Protokoll aus, um sich unbefugten Zugriff zu verschaffen, ihre Rechte zu erweitern oder bösartigen Code auf einem entfernten System auszuführen.
Wie es funktioniert
Wie RPC-Angriffe funktionieren
Angreifer missbrauchen RPCs, um verschiedene bösartige Aktivitäten durchzuführen, z. B.:
- Eskalation von Privilegien: Angreifer missbrauchen häufig RPC-Schwachstellen, um ihre Privilegien zu erweitern und Befehle auszuführen, sobald sie übergeordnete Berechtigungen erhalten haben. Diese Art von Angriffen kann auf schlecht konfigurierte Zugriffskontrollen oder spezifische Schwachstellen in RPC-Diensten zurückzuführen sein.
- Ausführen von entferntem Code: Dies geschieht, wenn Angreifer Schwachstellen in RPC ausnutzen, um beliebigen Code auf dem Zielsystem auszuführen. Durch das Senden einer böswillig gestalteten RPC-Anfrage kann der Angreifer Befehle oder Skripte auf dem Rechner des Opfers ohne Autorisierung ausführen.
- Seitliche Bewegung: Da RPC die Kommunikation zwischen Systemen erleichtert, nutzen Angreifer dies häufig aus, um sich seitlich durch ein Netzwerk zu bewegen. Durch die Kompromittierung einer anfänglichen endpoint und die Verwendung von RPC für die Kommunikation kann der Angreifer auf andere Netzwerksysteme zugreifen und die Persistenz aufrechterhalten.
Warum Angreifer sie benutzen
Warum Angreifer Remote Procedure Call verwenden
Angreifer verwenden RPC, weil es im Vergleich zu einem Port-Sweep oder Port-Scan oft schwerer zu entdecken ist. Sie können es nutzen, um unter dem Radar zu fliegen, während sie Erkundungen durchführen. Aus diesem Grund werden Schwachstellen in RPC-Servern häufig ausgenutzt, um Details über Netzwerkfreigaben, Dienste, Benutzer und andere Ressourcen zu erfahren.
Plattform-Detektionen
Wie man RPC-Angriffe erkennt und verhindert
RPC-Angriffe sind ein ernsthaftes Sicherheitsproblem, da RPC über eine breite Funktionalität verfügt und über das Netzwerk zugänglich ist. Durch die Überwachung der Netzwerkaktivitäten, die zeitnahe Anwendung von Patches und den Einsatz von Tools wie der Vectra AI Plattform zur Überwachung von Anzeichen für RPC-Missbrauch können Cybersicherheitsexperten das Risiko dieser Bedrohungen verringern. Aus diesem Grund bietet Vectra AI KI-gesteuerte Erkennungsfunktionen wie RPC-Recognition und gezielte RPC-Recognition, um zu erkennen, wann Angreifer das RPC-Protokoll zu nutzen scheinen, um Informationen über Netzwerkressourcen zu sammeln, damit SOC-Teams sie schnell stoppen können.
