Uzak masaüstü bağlantıları, bilgisayar korsanları için o kadar güçlü bir mıknatıstır ki, açıkta kalan bir bağlantı çeşitli IP adreslerinden her gün ortalama 37.000'den fazla olabilir.
Bu aşamada saldırılar otomatiktir. Ancak doğru erişim kimlik bilgilerini aldıktan sonra, bilgisayar korsanları önemli veya hassas dosyaları manuel olarak aramaya başlar.
Genel web'den erişilebilen bir RDP bağlantısına sahip yüksek etkileşimli honeypotları kullanan bir deney, amansız saldırganların ne kadar olduğunu ve çalışma ofis saatleri gibi günlük bir programda çalıştıklarını gösterir.
Üç ay boyunca, ABD ve Kanada'da merkezli bir tehdit avı ve müdahale şirketi olan Gosecure araştırmacıları, RDP Honeypot sistemlerine 3,5 milyona yakın giriş denemesi kaydetti.
Gosecure'de bir siber güvenlik araştırmacısı olan Andreanne Bergeron, Kanada'nın Montreal kentindeki Northsec Siber Güvenlik Konferansı'nda, balpotların önleme tavsiyesine çevrilebilecek saldırgan stratejilerini anlamayı amaçlayan bir araştırma programıyla bağlantılı olduğunu açıkladı.
Honeypot üç yıldan fazla bir süredir açık ve kapalı çalışıyor ve bir yıldan fazla bir süredir istikrarlı bir şekilde çalışıyor, ancak sunum için toplanan veriler 1 Temmuz ile 30 Eylül 2022 arasında sadece üç ayı temsil ediyor.
Bu süre zarfında, balkospot 1.500'den fazla IP adresinden 3.427.611 kez vuruldu. Ancak, tüm yıl boyunca saldırı sayısı 13 milyon giriş girişimine ulaştı.
Saldırganların iştahını hızlandırmak için, araştırmacılar sistemi bir bankanın ağının bir parçası olarak gördüler.
Beklendiği gibi, uzlaşma girişimleri birden fazla sözlüke dayalı kaba kuvvet saldırılarına dayanıyordu ve en yaygın kullanıcı adı “yönetici” ve BT'nin varyasyonu (örn. Kısa versiyon, farklı dil veya mektup vakası).
Bununla birlikte, yaklaşık 60.000 vakada, saldırgan doğru girişi bulmaya çalışmadan önce biraz keşif yaptı ve aşağıdaki sette açık bir şekilde yersiz bazı kullanıcı adları çalıştırdı.
Bergeron, yukarıdaki görüntüdeki üç tek kullanıcı adının Honeypot sistemi (RDP sertifikasının ve ana bilgisayarın adları ve barındırma sağlayıcısı) ile ilgili olduğunu açıkladı.
Bu verilerin en iyi 12 denenmiş giriş adında varlığı, en azından bir kısmının hackerların kimlik bilgisi çiftlerini körü körüne test etmediğini, ancak önce kurban hakkında bilgi topladığını göstermektedir.
Bergeron, sistemin şifrelerin karmalarını topladığını ve araştırmacıların daha zayıf olanları geri döndürebildiğini söyledi. Sonuçlar, en yaygın stratejinin RDP sertifikasının bir varyasyonunu ve ardından "şifre" kelimesinin varyantlarını ve on basamağa kadar basit bir dizeyi kullanmak olduğunu gösterdi.
Bu istatistiklerin ATRACT IP adresleriyle ilişkilendirilirken ilginç bir gözlem, RDP sertifika adının yalnızca Çin'deki IP'lerden (%98) ve Rusya'dan (%2) giriş denemelerinde kullanılmasıdır.
Bununla birlikte, bu mutlaka saldırganların iki ülkeden olduğu, ancak iki bölgede altyapı kullandıkları anlamına gelmez.
Başka bir gözlem, birçok saldırganın (%15) binlerce şifreyi sadece beş kullanıcı adıyla birleştirmesidir.
Saldırıya insan katılımı, bilgisayar korsanları değerli veriler için sistemin içinde gözetlenmeye başladığında bu ilk kaba aşamadan daha belirgin hale geldi.
Verileri daha da inceleyen Bergeron, Honeypot'u hedefleyen IP adresleri için bir ısı haritası oluşturdu ve etkinliğin, hackerların mola verdiğini gösteren duraklamalarla günlük bir desen oluşturduğunu fark etti.
Bazı seanslar 13 saat kadar uzun olmasına rağmen, birçok aktivite parçaları dört saatten fazla ve sekize kadar yayılmıştır. Bu, en azından saldırıları başlatmak için insan müdahalesini gösteriyor ve bir çeşit programı takip ediyor gibi görünüyor.
Bu gözleme ağırlık eklemek, bruteforce aktivitesinin hafta sonu günlerinde durmasıdır, muhtemelen saldırganların hack aktivitesine normal bir iş gibi davrandıklarını düşündürmektedir.
Komut dosyası düzgün bir şekilde ayarlandıktan sonra insan izlemeyi gerektirmeyen otomatik giriş girişimleri olduğunu belirtmek gerekir.
Bir örnekte Bergeron, saldırılar arasında sekiz saatlik bir boşluk fark etti ve vardiyalarda çalışan bir saldırganı gösterebileceğini söyledi.
İnsan dokunuşu ve sofistike seviyesi, hedef için (%14) özelleştirilen saldırılarda ve gerçek bir kişinin aktivitesini taklit etmek için her bir oturum açma girişimi arasında bir gecikme eklemede de görülebilir.
Saldırıya insan katılımı, bilgisayar korsanları değerli veriler için sistemin içinde gözetlenmeye başladığında bu ilk kaba aşamadan daha belirgin hale geldi.
Araştırmacıların ‘Admin/Admin’ kimlik bilgisi çifti ile Honeypot'taki oturum açma zorluğunu düşürmesine rağmen, Bergeron BleepingComputer'a bilgisayar korsanlarının sadece% 25'inin önemli dosyalar için makineyi keşfetmeye başladığını söyledi.
Bergeron ayrıca balkonun boş olduğunu söyledi, bu yüzden muhtemelen saldırganların sadece dörtte biri veri aramaya devam etti. Ancak, araştırmanın bir sonraki adımı sunucuyu sahte kurumsal dosyalarla doldurmak ve saldırganın hareketlerini ve eylemlerini izlemek olacaktır.
Rakip RDP oturumunun canlı video yayınlarını içeren saldırı verilerini kaydetmek ve depolamak için araştırmada, Northsec Konferansı Şirketi ve Başkanı Olivier Bilodeau tarafından Gosecure tarafından geliştirilen açık kaynaklı bir müdahale aracı olan PYRDP'yi kullandı.
Andreanne Bergeron'un bu yıl Northsec'teki konuşması "İnsan Vs Machine: Uzak Masaüstü Protokolünü Hedefleyen Otomatik Saldırılarda İnsan Etkileşim Seviyesi" başlıklı. Konferansın her iki aşamasından gelen tüm görüşmeler Northsec'in YouTube kanalında mevcuttur.
Kaynak: Bleeping Computer