As conexões de desktop remoto são tão poderosas que atraem hackers que, em média, fazem mais de 37.000 tentativas de acesso diariamente a partir de vários endereços IP.
Durante essa fase, os ataques são automatizados.
Mas assim que os hackers conseguem as credenciais de acesso corretas, eles começam a procurar manualmente arquivos importantes ou sensíveis.
Um experimento usando honeypots com alta interação e uma conexão RDP acessível pela web pública mostra como os atacantes são implacáveis e operam dentro de uma programação diária muito parecida com o horário de trabalho de um escritório.
Durante três meses, os pesquisadores da GoSecure, uma empresa de caça e resposta a ameaças com sede nos EUA e Canadá, registraram quase 3,5 milhões de tentativas de login em seu sistema de honeypot RDP.
Andreanne Bergeron, uma pesquisadora de segurança cibernética da GoSecure, explicou na conferência de segurança cibernética NorthSec em Montreal, Canadá, que os honeypots estão ligados a um programa de pesquisa que visa entender as estratégias do atacante que podem ser traduzidas em conselhos de prevenção.
O honeypot está funcionando intermitentemente há mais de três anos e funcionando constantemente por mais de um ano, mas os dados coletados para a apresentação representam apenas três meses, de 1º de julho a 30 de setembro de 2022.
Durante esse tempo, o honeypot foi atacado 3.427.611 vezes de mais de 1.500 endereços IP.
No entanto, a contagem de ataques para o ano inteiro chegou a 13 milhões de tentativas de login.
Para aguçar o apetite dos atacantes, os pesquisadores nomearam o sistema para parecer parte da rede de um banco.
Como esperado, as tentativas de comprometimento confiaram em ataques de força bruta baseados em vários dicionários e o nome de usuário mais comum era "Administrador" e variações dele (por exemplo, versão curta, idioma diferente ou caixa de letra).
Em cerca de 60.000 casos, no entanto, o atacante fez alguma reconhecimento antes de tentar encontrar a senha correta e executou alguns nomes de usuário que claramente não faziam sentido no conjunto abaixo.
Bergeron explicou que os três nomes de usuário estranhos na imagem acima estão relacionados ao sistema honeypot (nomes do certificado RDP e do host e o provedor de hospedagem).
A presença desses dados nos 12 nomes de login mais tentados indica que pelo menos alguns dos hackers não testaram cegamente pares de credenciais para fazer login, mas coletaram informações sobre a vítima primeiro.
Bergeron nos disse que o sistema coletou hashes das senhas e os pesquisadores conseguiram reverter as mais fracas.
Os resultados mostraram que a estratégia mais comum era usar uma variação do certificado RDP, seguida por variantes da palavra "senha" e uma sequência simples de até dez dígitos.
Uma observação interessante ao correlacionar essas estatísticas com os endereços IP de ataque é que o nome do certificado RDP foi usado exclusivamente em tentativas de login por IPs na China (98%) e na Rússia (2%).
No entanto, isso não significa necessariamente que os atacantes sejam dos dois países, mas sim que eles usam infraestrutura nas duas regiões.
Outra observação é que muitos atacantes (15%) combinaram milhares de senhas com apenas cinco nomes de usuário.
O envolvimento humano no ataque ficou mais evidente após essa fase inicial de força bruta, quando os hackers começaram a bisbilhotar o sistema em busca de dados valiosos.
Aprofundando-se nos dados, Bergeron criou um mapa de calor para os endereços IP que visavam o honeypot e notou que a atividade formava um padrão diário com pausas indicando que os hackers estavam fazendo uma pausa.
Muitos blocos de atividade duraram mais de quatro horas e até oito, embora algumas sessões tenham durado até 13 horas.
Isso sugere a intervenção humana, pelo menos para lançar os ataques, e parece seguir uma programação de algum tipo.
Dando peso a essa observação está o fato de que a atividade de força bruta parou durante os dias de fim de semana, possivelmente sugerindo que os hackers estão tratando a atividade de hacking como um trabalho regular.
Vale ressaltar que todas essas tentativas de login foram automatizadas e não exigiram monitoramento humano uma vez que o script foi ajustado adequadamente.
Em um exemplo, Bergeron notou uma lacuna de oito horas entre os ataques e inferiu que isso poderia indicar um atacante trabalhando em turnos.
O toque humano e o nível de sofisticação também foram visíveis em ataques personalizados para o alvo (14%), bem como na adição de um atraso entre cada tentativa de login, para imitar a atividade de uma pessoa real.
O envolvimento humano no ataque ficou mais evidente após essa fase inicial de força bruta, quando os hackers começaram a bisbilhotar o sistema em busca de dados valiosos.
Apesar dos pesquisadores terem reduzido a dificuldade de login no honeypot com o par de credenciais "admin/admin", Bergeron disse ao BleepingComputer que apenas 25% dos hackers começaram a explorar a máquina em busca de arquivos importantes.
Bergeron também disse que o honeypot estava vazio, o que provavelmente explica por que apenas um quarto dos atacantes se demorou procurando dados.
No entanto, o próximo passo da pesquisa seria preencher o servidor com arquivos corporativos falsos e monitorar os movimentos e ações do invasor.
Para gravar e armazenar os dados de ataque, que incluem feeds de vídeo ao vivo da sessão RDP do adversário, a pesquisa usou o PyRDP, uma ferramenta de interceptação de código aberto desenvolvida na GoSecure por Olivier Bilodeau, diretor de pesquisa em segurança cibernética da empresa e presidente da conferência NorthSec.
A palestra de Andreanne Bergeron na NorthSec deste ano tem o título "Human vs Machine: The Level of Human Interaction in Automated Attacks Targeting the Remote Desktop Protocol".
Todas as palestras dos dois estágios da conferência estão disponíveis no canal do YouTube da NorthSec.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...