{"id":360,"date":"2026-06-03T09:34:35","date_gmt":"2026-06-03T07:34:35","guid":{"rendered":"https:\/\/ttz-wue.fiw.thws.de\/blog\/?p=360"},"modified":"2026-06-03T14:35:27","modified_gmt":"2026-06-03T12:35:27","slug":"erste-beobachtungen-aus-unserem-interaktiven-rdp-honeypot","status":"publish","type":"post","link":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/2026\/06\/03\/erste-beobachtungen-aus-unserem-interaktiven-rdp-honeypot\/","title":{"rendered":"Erste Beobachtungen aus unserem interaktiven RDP-Honeypot"},"content":{"rendered":"\n

Von der Kompromittierung zur Verhaltensanalyse<\/h2>\n\n\n\n

In den vergangenen Wochen wurde unsere Honeynet-Infrastruktur um einen interaktiven RDP-Honeypot erweitert. W\u00e4hrend klassische Honeypots h\u00e4ufig lediglich Login-Versuche oder Netzwerkaktivit\u00e4ten erfassen, erm\u00f6glicht der neue Ansatz die Beobachtung von Angreifern nach erfolgreicher Anmeldung auf einem realistisch konfigurierten Windows-System.<\/p>\n\n\n\n

Ziel der Erweiterung war es, nicht nur Angriffe auf den RDP-Dienst zu erkennen, sondern auch die Aktivit\u00e4ten erfolgreicher Angreifer innerhalb des Systems nachvollziehen zu k\u00f6nnen. Dazu wurde eine Umgebung geschaffen, die Angreifern einen scheinbar regul\u00e4ren Windows-Arbeitsplatz zur Verf\u00fcgung stellt und gleichzeitig umfangreiche Telemetriedaten erfasst.<\/p>\n\n\n\n

Das System zeichnet dabei unter anderem Bildschirmaufnahmen, Dateiaktivit\u00e4ten, Prozessausf\u00fchrungen sowie heruntergeladene Artefakte auf. Zus\u00e4tzlich werden Sitzungsinformationen und weitere Metadaten erfasst, um einzelne Angriffssitzungen m\u00f6glichst vollst\u00e4ndig dokumentieren zu k\u00f6nnen.<\/p>\n\n\n\n

Die gesammelten Informationen werden automatisiert aufbereitet und den jeweiligen Sessions zugeordnet. Dadurch entsteht f\u00fcr jeden beobachteten Angriff ein Datensatz aus Videoaufzeichnung, Metadaten und gesicherten Artefakten. W\u00e4hrend klassische Sensoren h\u00e4ufig lediglich erfolgreiche Logins protokollieren, erm\u00f6glicht dieser Ansatz die Analyse konkreter Werkzeuge, Vorgehensweisen und Ziele der Angreifer.<\/p>\n\n\n\n

Wir haben den Einsatz des Honeypots vorab ethisch abgewogen und ihn ausschlie\u00dflich zur Analyse realer Angriffsmuster sowie zur Verbesserung von Schutzma\u00dfnahmen betrieben. <\/p>\n\n\n\n

Bei der Aufzeichnung von Angreiferinteraktionen folgen wir dem Prinzip der Datensparsamkeit: Es werden nur solche Daten erhoben und ausgewertet, die f\u00fcr die Forschungs- und Sicherheitsziele erforderlich sind.
Die gewonnenen Informationen werden vertraulich behandelt, soweit m\u00f6glich anonymisiert bzw. pseudonymisiert und nicht zur Identifikation einzelner Personen, sondern ausschlie\u00dflich zur sicherheitsbezogenen Analyse verwendet.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\n

Abbildung 1: Schematische Darstellung der RDP-Honeypot-Infrastruktur. Nach erfolgreicher Anmeldung werden Sitzungsdaten, Bildschirmaufzeichnungen, Dateiaktivit\u00e4ten und heruntergeladene Artefakte automatisiert erfasst, einer Session zugeordnet und f\u00fcr weiterf\u00fchrende Analysen bereitgestellt.<\/p>\n<\/blockquote>\n\n\n\n

Bereits kurz nach der Inbetriebnahme konnten erste interessante Sessions beobachtet werden.<\/h4>\n\n\n\n
\n\n\n\n

Fall 1 \u2013 SilverBullet als Werkzeug f\u00fcr Credential Stuffing<\/h2>\n\n\n\n

In einer der aufgezeichneten Sitzungen war auff\u00e4llig, dass keine Versuche unternommen wurden, das System weiter zu kompromittieren oder Daten des Hosts auszulesen.<\/p>\n\n\n\n

Stattdessen wurde der Browser ge\u00f6ffnet und das Tool \u201eSilverBullet\u201c gestartet. Die w\u00e4hrend der Sitzung beobachteten Konfigurationsdateien lassen auf Aktivit\u00e4ten aus dem Bereich Credential Stuffing und Account Checking schlie\u00dfen.<\/p>\n\n\n\n

SilverBullet ist in der Cybercrime-Szene ein bekanntes Werkzeug f\u00fcr Credential Stuffing und Account Checking. Dabei werden gro\u00dfe Mengen bereits gestohlener Zugangsdaten automatisiert gegen verschiedene Online-Dienste getestet. Ziel ist es, wiederverwendete Passw\u00f6rter und g\u00fcltige Accounts zu identifizieren.<\/p>\n\n\n\n

Die w\u00e4hrend der Sitzung beobachteten Werkzeuge und Artefakte lassen darauf schlie\u00dfen, dass der Fokus des Angreifers auf Zugangsdatenlisten und zugeh\u00f6rigen Konfigurationsdateien lag. Hinweise auf eine weitere Kompromittierung des Systems oder andere klassische Malware-Aktivit\u00e4ten konnten w\u00e4hrend der Sitzung nicht beobachtet werden.<\/p>\n\n\n\n

\n\n\n\n

Fall 2 \u2013 Credential-Checking mit NLBrute<\/h2>\n\n\n\n

Ein weiterer beobachteter Fall zeigte ein \u00e4hnliches Muster.<\/p>\n\n\n\n

Nach erfolgreicher Anmeldung wurde das Tool \u201eNLBrute\u201c aus einem Repository heruntergeladen und auf dem System ge\u00f6ffnet.<\/p>\n\n\n\n

W\u00e4hrend der Sitzung konnte beobachtet werden, wie sich der Angreifer zus\u00e4tzlich mit einem pers\u00f6nlichen Telegram-Konto anmeldete und verschiedene Dateien verwaltete.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n
\n

Abbildung 2: W\u00e4hrend der Sitzung meldete sich der Angreifer mit einem Telegram-Konto an. Die sichtbaren Gruppen- und Kanalnamen deuten auf einen Bezug zu Credential-Checking- und Account-Checking-Aktivit\u00e4ten hin.<\/p>\n<\/blockquote>\n\n\n\n

Die nach der Sitzung gesicherten Artefakte enthielten unter anderem Dateien mit Namen wie:<\/p>\n\n\n\n

    \n
  • Pass Normal Hit global.txt<\/li>\n\n\n\n
  • mix pass hit.txt<\/li>\n\n\n\n
  • PsslistGOLD.txt<\/li>\n\n\n\n
  • User Pass by dinhmc.zip<\/li>\n<\/ul>\n\n\n\n

    Die Benennung dieser Dateien deutet auf die Verarbeitung gro\u00dfer Mengen von Zugangsdaten sowie auf Trefferlisten erfolgreicher Logins hin.<\/p>\n\n\n\n

    \u00d6ffentlich verf\u00fcgbare Informationen beschreiben NLBrute als Werkzeug f\u00fcr automatisierte Anmeldeversuche gegen RDP-Systeme. Die w\u00e4hrend der Sitzung beobachteten Artefakte passen grunds\u00e4tzlich zu einem solchen Einsatzzweck.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n
    \n

    Abbildung 3: Oberfl\u00e4che des Werkzeugs NLBrute. Sichtbar sind unter anderem die Anzahl paralleler Threads, die Verarbeitungsgeschwindigkeit sowie die Anzahl verbleibender Zugangsdaten.<\/p>\n<\/blockquote>\n\n\n\n

    \n\n\n\n

    Sandbox-Analyse der eingesetzten Software<\/h2>\n\n\n\n

    Zur weiteren Untersuchung wurde die verwendete NLBrute-Datei in einer Malware-Analyseplattform untersucht.<\/p>\n\n\n\n

    Die Analyse identifizierte unter anderem folgende Verhaltensweisen:<\/p>\n\n\n\n

      \n
    • Process Hollowing<\/li>\n\n\n\n
    • Process Injection<\/li>\n\n\n\n
    • Credential Access<\/li>\n\n\n\n
    • Access Token Manipulation<\/li>\n\n\n\n
    • Datensammlung<\/li>\n\n\n\n
    • Sandbox-Evasion-Techniken<\/li>\n<\/ul>\n\n\n\n

      Dar\u00fcber hinaus erkannte die Sandbox Aktivit\u00e4ten, die auf das Auslesen von Anmeldedaten sowie die Manipulation anderer Prozesse hindeuten.<\/p>\n\n\n\n

      Interessant ist dabei, dass die Analyse deutlich \u00fcber die Funktionalit\u00e4t hinausgeht, die man von einem einfachen Bruteforce-Werkzeug erwarten w\u00fcrde. Neben Funktionen zur Verarbeitung von Zugangsdaten wurden auch Techniken identifiziert, die typischerweise mit Schadsoftware in Verbindung gebracht werden, darunter Process Hollowing, Process Injection sowie das Auslesen von Authentifizierungsdaten aus dem Speicher.<\/p>\n\n\n\n

      Ob diese Funktionen Bestandteil des urspr\u00fcnglichen Werkzeugs sind, durch eine modifizierte Version eingebracht wurden oder auf zus\u00e4tzliche Komponenten zur\u00fcckzuf\u00fchren sind, konnte anhand der vorliegenden Daten nicht abschlie\u00dfend gekl\u00e4rt werden.<\/p>\n\n\n\n

      Eine eindeutige Zuordnung zu einer bekannten Malware-Familie oder einer bestimmten Bedrohungsgruppe war nicht m\u00f6glich.<\/p>\n\n\n\n

      \"\"<\/figure>\n\n\n\n
      \n

      Abbildung 4: Ergebnisse der Sandbox-Analyse von NLBrute. Die Analyse identifizierte unter anderem Techniken zur Prozessmanipulation, Datensammlung, Credential-Erfassung sowie verschiedene Mechanismen zur Erkennung und Umgehung von Analyseumgebungen.<\/p>\n<\/blockquote>\n\n\n\n

      \n\n\n\n

      Erkenntnisse aus den ersten Sessions<\/h2>\n\n\n\n

      Die ersten Beobachtungen zeigen bereits deutlich, welchen Mehrwert interaktive Honeypots gegen\u00fcber klassischen Sensoren bieten.<\/p>\n\n\n\n

      W\u00e4hrend Netzwerkdaten lediglich erfolgreiche Anmeldungen dokumentieren w\u00fcrden, erm\u00f6glicht die Aufzeichnung kompletter Sitzungen Einblicke in die tats\u00e4chlichen Absichten und Methodiken der Angreifer.<\/p>\n\n\n\n

      Bemerkenswert ist insbesondere, dass in beiden F\u00e4llen keine klassische Ransomware-Aktivit\u00e4t oder unmittelbare Systemzerst\u00f6rung beobachtet wurde.<\/p>\n\n\n\n

      Besonders interessant ist die Gemeinsamkeit beider F\u00e4lle. Obwohl unterschiedliche Werkzeuge eingesetzt wurden, deuteten die beobachteten Aktivit\u00e4ten auf einen \u00e4hnlichen Workflow hin: die Verarbeitung, Pr\u00fcfung und Verwaltung kompromittierter Zugangsdaten. Die eigentliche Erkenntnis liegt daher weniger in den verwendeten Tools selbst, sondern in dem wiederkehrenden Verhaltensmuster der Angreifer.<\/p>\n\n\n\n

      Die Ergebnisse deuten darauf hin, dass erfolgreiche RDP-Kompromittierungen nicht zwangsl\u00e4ufig in Ransomware-Angriffen oder Sabotage m\u00fcnden. Der eigentliche Wert des Honeypots liegt dabei nicht nur in der Erkennung von Angriffen, sondern vor allem in der M\u00f6glichkeit, reale Arbeitsweisen von Angreifern zu dokumentieren und besser zu verstehen.<\/p>\n\n\n\n

      Die Honeynet-Infrastruktur wird aktuell weiter ausgebaut. Zuk\u00fcnftige Analysen sollen zeigen, ob sich diese Beobachtungen auch in weiteren Sessions best\u00e4tigen und welche zus\u00e4tzlichen Angriffsmuster sich identifizieren lassen.<\/p>\n\n\n\n

      <\/p>\n","protected":false},"excerpt":{"rendered":"

      Von der Kompromittierung zur Verhaltensanalyse In den vergangenen Wochen wurde unsere Honeynet-Infrastruktur um einen interaktiven…<\/p>\n","protected":false},"author":11,"featured_media":361,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[72,74,75],"tags":[140],"class_list":["post-360","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bedrohungen-angriffe","category-tools-techniken","category-trends","tag-honeypot"],"_links":{"self":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=360"}],"version-history":[{"count":26,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/360\/revisions"}],"predecessor-version":[{"id":391,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/posts\/360\/revisions\/391"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/media\/361"}],"wp:attachment":[{"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ttz-wue.fiw.thws.de\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}