Οι συνδέσεις απομακρυσμένης επιφάνειας εργασίας (RDP) είναι τόσο ισχυρές που αποτελούν μαγνήτη για τους χάκερ: σε μια εκτεθειμένη σύνδεση μπορεί να υπάρξει πρόσβαση, κατά μέσο όρο, περισσότερες από 37.000 φορές την ημέρα από διάφορες διευθύνσεις IP.
Κατά τη διάρκεια αυτής της φάσης, οι επιθέσεις είναι αυτοματοποιημένες- ωστόσο, μόλις αποκτήσουν τα σωστά διαπιστευτήρια πρόσβασης, οι χάκερ αρχίζουν να αναζητούν σημαντικά ή ευαίσθητα αρχεία χειροκίνητα.
Δείτε επίσης: Passwords μπορούν να “σπάσουν” μέσα σε λίγα δευτερόλεπτα – Ανήκει και το δικό σας σε αυτά;
Οι χάκερ συρρέουν στο RDP
Ένα πείραμα με τη χρήση honeypot υψηλής αλληλεπίδρασης με σύνδεση πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) προσβάσιμη από τον δημόσιο ιστό έδειξε πόσο αδυσώπητοι είναι οι επιτιθέμενοι και ότι λειτουργούν μέσα σε ένα καθημερινό πρόγραμμα που μοιάζει πολύ με τις ώρες εργασίας στο γραφείο.
Κατά τη διάρκεια τριών μηνών, οι ερευνητές της GoSecure, κατέγραψαν σχεδόν 3,5 εκατομμύρια απόπειρες σύνδεσης στο RDP honeypot σύστημα τους.
Η Andreanne Bergeron, ερευνήτρια κυβερνοασφάλειας στην GoSecure, εξήγησε στο συνέδριο κυβερνοασφάλειας NorthSec στο Μόντρεαλ του Καναδά ότι τα honeypots συνδέονται με ένα ερευνητικό πρόγραμμα που έχει ως στόχο την κατανόηση των στρατηγικών των επιτιθέμενων που μπορούν να μεταφραστούν σε συμβουλές πρόληψης.
Το honeypot λειτουργεί κατά διαστήματα για περισσότερα από τρία χρόνια και σταθερά για πάνω από ένα χρόνο, αλλά τα δεδομένα που συλλέχθηκαν για την παρουσίαση αντιπροσωπεύουν μόνο τρεις μήνες, μεταξύ 1ης Ιουλίου και 30ης Σεπτεμβρίου 2022.
Κατά τη διάρκεια αυτής της περιόδου, το honeypot δέχθηκε 3.427.611 χτυπήματα από περισσότερες από 1.500 διευθύνσεις IP- ωστόσο, ο αριθμός των επιθέσεων για ολόκληρο το έτος έφτασε τα 13 εκατομμύρια απόπειρες σύνδεσης.
Δείτε επίσης: Το Have I Been Pwned προειδοποιεί για νέα παραβίαση δεδομένων της Zacks
Για να ανοίξουν την όρεξη των επιτιθέμενων, οι ερευνητές ονόμασαν το σύστημα έτσι ώστε να φαίνεται σαν να ήταν μέρος του δικτύου μιας τράπεζας.
Όπως ήταν αναμενόμενο, οι απόπειρες παραβίασης βασίστηκαν σε επιθέσεις brute-force με βάση πολλαπλά λεξικά και το πιο κοινό όνομα χρήστη ήταν το “Administrator” και παραλλαγές του (π.χ. σύντομες εκδόσεις, διαφορετικές γλώσσες ή περιπτώσεις γραμμάτων).
Σε περίπου 60.000 περιπτώσεις, ωστόσο, ο επιτιθέμενος πραγματοποίησε κάποια αναγνώριση πριν προσπαθήσει να βρει τη σωστή σύνδεση. Επίσης, έτρεξαν κάποια ονόματα χρηστών που ήταν σαφώς εκτός θέσης στο δεδομένο σύνολο.
Ο Bergeron εξήγησε ότι τα τρία περίεργα ονόματα χρηστών στην παραπάνω εικόνα σχετίζονται με το σύστημα honeypot, δηλαδή τα ονόματα του πιστοποιητικού RDP, του host και του παρόχου hosting.
Η παρουσία αυτών των δεδομένων στα 12 πρώτα ονόματα σύνδεσης που δοκιμάστηκαν περισσότερο υποδεικνύει ότι τουλάχιστον ορισμένοι από τους χάκερ δεν δοκίμασαν τυφλά ζεύγη credential για να συνδεθούν, αλλά συνέλεξαν πρώτα πληροφορίες για το θύμα.
Ο Bergeron μας είπε ότι το σύστημα είχε συλλέξει hashes των κωδικών πρόσβασης και οι ερευνητές ήταν σε θέση να επαναφέρουν τους πιο αδύναμους. Τα αποτελέσματα έδειξαν ότι η πιο συνηθισμένη στρατηγική ήταν η χρήση μιας παραλλαγής του πιστοποιητικού RDP, ακολουθούμενη από παραλλαγές της λέξης “password” και μια απλή συμβολοσειρά έως και δέκα ψηφίων.
Μια ενδιαφέρουσα παρατήρηση κατά τη συσχέτιση αυτών των στατιστικών στοιχείων με τις διευθύνσεις IP της επίθεσης είναι ότι το όνομα του πιστοποιητικού RDP χρησιμοποιήθηκε αποκλειστικά σε απόπειρες σύνδεσης από IP στην Κίνα (98%) και τη Ρωσία (2%).
Ωστόσο, αυτό δεν σημαίνει απαραίτητα ότι οι επιτιθέμενοι προέρχονται από τις δύο χώρες, αλλά μάλλον ότι χρησιμοποιούν υποδομές στις δύο περιοχές.
Μια άλλη παρατήρηση είναι ότι πολλοί επιτιθέμενοι (15%) συνδύασαν χιλιάδες κωδικούς πρόσβασης με μόλις πέντε ονόματα χρήστη.
Δείτε επίσης: Brand impersonation καμπάνια στοχεύει πάνω από εκατό δημοφιλή brands ένδυσης και υποδημάτων
Πηγή πληροφοριών: bleepingcomputer.com