Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/rdp-honeypot-targeted-35-million-times-in-brute-force-attacks/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #rdp #honeypot #alvejado #3,5 #milhões #de #vezes #em #ataques #de #força #bruta
As conexões de área de trabalho remota são um ímã tão poderoso para hackers que uma conexão exposta pode, em média, mais de 37.000 vezes por dia a partir de vários endereços IP.
Durante esta fase, os ataques são automatizados. Mas assim que obtêm as credenciais de acesso corretas, os hackers começam a procurar arquivos importantes ou confidenciais manualmente.
Hackers invadem o RDP
Um experimento usando honeypots de alta interação com uma conexão RDP acessível a partir da Web pública mostra como os invasores são implacáveis e que eles operam dentro de uma programação diária muito semelhante ao horário comercial.
Ao longo de três meses, os pesquisadores da GoSecure, uma empresa de caça e resposta a ameaças com sede nos EUA e no Canadá, registraram cerca de 3,5 milhões de tentativas de login em seu sistema RDP honeypot.
Andreanne Bergeron, pesquisadora de segurança cibernética da GoSecure, explicou na conferência de segurança cibernética da NorthSec em Montreal, Canadá, que os honeypots estão vinculados a um programa de pesquisa que visa entender as estratégias do invasor que podem ser traduzidas em conselhos de prevenção.
O honeypot funciona intermitentemente há mais de três anos e funciona de forma constante há mais de um ano, mas os dados coletados para a apresentação representam apenas três meses, entre 1º de julho e 30 de setembro de 2022.
Durante esse período, o honeypot foi atingido 3.427.611 vezes em mais de 1.500 endereços IP. No entanto, a contagem de ataques para o ano inteiro atingiu 13 milhões de tentativas de login.
Para aguçar o apetite dos invasores, os pesquisadores nomearam o sistema para parecer fazer parte da rede de um banco.
Como esperado, as tentativas de comprometimento dependiam de ataques de força bruta baseados em vários dicionários e o nome de usuário mais comum era “Administrador” e variações dele (por exemplo, versão curta, idioma diferente ou letras maiúsculas e minúsculas).
Em cerca de 60.000 casos, porém, o invasor fez algum reconhecimento antes de tentar encontrar o login correto e executou alguns nomes de usuário que obviamente estão fora de lugar no conjunto abaixo.
Bergeron explicou que os três nomes de usuário ímpares na imagem acima estão relacionados ao sistema honeypot (nomes do certificado RDP e do host e do provedor de hospedagem).
A presença desses dados nos 12 principais nomes de login testados indica que pelo menos alguns dos hackers não testaram cegamente pares de credenciais para fazer login, mas coletaram informações sobre a vítima primeiro.
Bergeron nos disse que o sistema coletou hashes das senhas e os pesquisadores conseguiram reverter as mais fracas. Os resultados mostraram que a estratégia mais comum era usar uma variação do certificado RDP, seguida de variantes da palavra ‘senha’ e uma string simples de até dez dígitos.
Uma observação interessante ao correlacionar essas estatísticas com os endereços IP de ataque é que o nome do certificado RDP foi usado exclusivamente em tentativas de login de IPs na China (98%) e na Rússia (2%).
No entanto, isso não significa necessariamente que os invasores sejam dos dois países, mas que usam infraestrutura nas duas regiões.
Outra observação é que muitos invasores (15%) combinaram milhares de senhas com apenas cinco nomes de usuário.
Um dia normal de trabalho
O envolvimento humano no ataque tornou-se mais evidente após esse estágio inicial de força bruta, quando os hackers começaram a bisbilhotar o sistema em busca de dados valiosos.
Investigando mais os dados, Bergeron criou um mapa de calor para endereços IP direcionados ao honeypot e percebeu que a atividade formava um padrão diário com pausas indicando que os hackers estavam fazendo uma pausa.
Muitos blocos de atividade abrangem mais de quatro horas e até oito, embora algumas sessões durassem até 13 horas. Isso sugere intervenção humana, pelo menos para lançar os ataques, e parece seguir algum tipo de cronograma.
Adicionando peso a essa observação está o fato de que a atividade de força bruta parou durante os dias de fim de semana, possivelmente sugerindo que os invasores estão tratando a atividade de hacking como um trabalho normal.
Vale a pena notar que todas essas foram tentativas de login automatizadas que não exigiam monitoramento humano, uma vez que o script foi devidamente ajustado.
Em um exemplo, Bergeron notou um intervalo de oito horas entre os ataques e inferiu que isso poderia indicar um invasor trabalhando em turnos.
O toque humano e o nível de sofisticação também foram visíveis nos ataques personalizados para o alvo (14%) e na adição de um atraso entre cada tentativa de login, para imitar a atividade de uma pessoa real.
O envolvimento humano no ataque ficou mais evidente após esse estágio inicial de força bruta, quando os hackers começaram a bisbilhotar o sistema em busca de dados valiosos.
Apesar dos pesquisadores reduzirem a dificuldade de login no honeypot com o par de credenciais 'admin/admin', Bergeron disse ao BleepingComputer que apenas 25% dos hackers começaram a explorar a máquina em busca de arquivos importantes.
Bergeron também disse que o honeypot estava vazio, e é provavelmente por isso que apenas um quarto dos invasores demorou a procurar dados. No entanto, o próximo passo da pesquisa seria encher o servidor com arquivos corporativos falsos e monitorar os movimentos e ações do invasor.
Para registrar e armazenar os dados do ataque, que incluem feeds de vídeo ao vivo da sessão RDP adversária, a pesquisa usou o PyRDP, uma ferramenta de interceptação de código aberto desenvolvida na GoSecure por Olivier Bilodeau, diretor de pesquisa de segurança cibernética da empresa e presidente da conferência NorthSec.
A palestra de Andreanne Bergeron na NorthSec este ano é intitulada "Human vs Machine: The Level of Human Interaction in Automated Attacks Targeting the Remote Desktop Protocol". Todas as palestras de ambas as etapas da conferência estão disponíveis no canal do YouTube da NorthSec.
Postar um comentário