Qilin-Ransomware erfasst die Anmeldehistorie von RDP auf einem kompromittierten Server

Technik und Auswirkungen

Seine Beobachtung hob hervor, wie die Gruppe einen PowerShell-Befehl verwendete, um jeden Event ID 1149 aus dem Log Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational abzurufen.

Diese einzelne Abfrage gab den Angreifern eine klare Karte darüber, welche Konten RDP auf dem Host nutzten, welche Clientsysteme damit verbunden waren und welche Konten privilegiert genug erschienen, um als nächstes Ziel zu dienen. Das Skript wurde während des Eindringens über eine bösartige ScreenConnect-Installation geliefert.

Was dieses Verhalten besonders macht, ist, wie wenig Lärm es erzeugt. Anstatt laute Netzwerkscans oder Active Directory Enumerationstools auszuführen, die, nutzte Qilin einen eingebauten Windows-Protokollierungsmechanismus, um alle benötigten Aufklärungsdaten zu sammeln.

Sicherheitslage und Risiko

Dies ist ein kalkulierter Schritt, der einen breiteren Wandel in der Art und Weise widerspiegelt, wie Ransomware-Gruppen die Tarnung vor der Verschlüsselung angehen. RDP-Enumeration als Strategie zur lateralen Bewegung Die im Zentrum ihrer Strategie zur lateralen Bewegung.

Durch Abfragen der Event ID 1149, die aufzeichnet, wann eine Anforderung für eine Remote-Desktop-Verbindung empfangen wird, extrahierten die Angreifer Benutzernamen, Domainnamen und die Quell-Client-Maschinen, die an jeder Sitzung beteiligt waren.

Mit einem einzigen Befehl erstellten sie eine priorisierte Liste, die für eine weitere Kompromittierung ins Visier genommen werden konnten. Dieser Ansatz ist besonders effektiv, weil die Event ID 1149 im RemoteConnectionManager Operational Log und nicht im Haupt-Sicherheitsereignisprotokoll (Security event log) zu finden ist.

Einordnung fuer Autofahrer

Viele Organisationen leiten dieses Protokoll nicht an ihr Security Information and Event Management (SIEM)-System weiter oder behandeln es einfach als geringe Priorität. Diese Lücke gibt Angreifern ein ruhiges Zeitfenster, um wertvolle Informationen zu sammeln.

Es ist auch wichtig zu beachten, dass die Event ID 1149 nicht allein einen erfolgreichen RDP-Login bestätigt. Sie zeichnet lediglich auf, dass eine Verbindungsanforderung empfangen wurde.

Zur Überprüfung tatsächlicher erfolgreicher Anmeldungen ist eine Korrelation mit der Event ID 4624 aus dem Sicherheitsprotokoll oder Einträgen aus dem Local Session Manager Protokoll erforderlich.

Sicherheitsteams wird geraten, das PowerShell ScriptBlock

Sicherheitsteams wird geraten, das PowerShell ScriptBlock Logging in ihrer gesamten Umgebung zu aktivieren, da es keinen legitimen Grund gibt, dass ein nicht-administratives Verfahren diese Art ührt.

Organisationen sollten auch auf unbefugte Installationen, AnyDesk, Atera oder Total Software Deployment auf einem kompromittierten Host achten. Die Überwachung diesen Indikatoren fügt eine weitere starke Erkennungsebene hinzu.

Zusammen können diese Signale, die in den Stunden vor Beginn der Verschlüsselung beobachtet werden, als zuverlässiger Fingerabdruck eines aktiven Qilin-Eindringens dienen. Sie uns auf

Der Beitrag Qilin Ransomware Enumerates RDP Authentication History on a Compromised Server erschien zuerst bei