在过去的三年里,试图窃取数据或部署恶意软件的倒霉的网络犯罪分子一直在偶然发现一台托管在美国的虚拟机。像无数其他机器一样,这台机器的弱密码很容易被破解。但是,黑客不知道的是,他们一直在访问的远程机器是一个陷阱。
每当2000多名攻击者中的一个强行进入机器时,网络安全公司GoSecure的研究人员就能观察到他们的一举一动。秘密地,他们记录了电脑的屏幕,观察每一次鼠标点击和键盘点击,以及偷偷地获取复制到攻击者自己设备剪贴板上的任何数据。
一项对100多个小时的网络攻击屏幕录像的分析显示,黑客泄露了他们许多最宝贵的秘密,这可以说是有关网络罪犯行为的前所未有的大量数据。他们无意中透露了他们使用的黑客工具,以及他们如何使用这些工具,以及他们在入侵系统时所做的事情。那些愚蠢到登录个人电子邮件账户的人也交出了他们远离键盘的生活细节。
一些攻击者很老练,而另一些则显得很无能。研究人员说,有些人只是表现得很奇怪——一个人登录了机器,改变了桌面背景,然后退出了,另一个人在掩盖自己的踪迹离开之前写了“lol”。
“这基本上是一个监控摄像头,可以记录下他们的一举一动,”GoSecure公司的网络安全研究员安德里亚·伯格龙(andrsamanne Bergeron)说。他分析了堆积如山的屏幕录像。抓捕网络罪犯的各种蜜罐已经存在多年。“他们使用了很多个人信息,即使是在攻击的时候,”伯杰龙补充道。“最后,他们和我们一样。他们和我们一样思考。他们会犯错,会犯错。”
伯杰龙和她的同事、GoSecure网络安全研究总监奥利维尔?比洛多(Olivier Bilodeau)一起设置了这个蜜罐,以捕捉使用微软远程桌面协议(RDP)的潜在网络罪犯。RDP允许人们远程登录计算机并在自己的屏幕上看到它的桌面。该设置需要用户名和密码,企业内的IT人员通常使用它来帮助同事解决问题和安装更新。
近年来,带有不安全登录的RDP系统——比如可以通过猜密码软件解锁的弱密码——为网络罪犯侵入企业网络提供了关键的接入点。Malwarebytes研究不安全rdp的安全专家马克·斯托克利(Mark Stockley)表示,勒索软件团伙尤其利用rdp进行攻击。斯托克利说:“如果我能在你的电脑上进行RDP会话,那就像我把你从椅子上推下来坐在电脑前一样。”斯托克利与这项新研究没有关系。如果攻击者拥有管理员权限,他们可能能够在整个网络中移动并部署勒索软件。
今天在拉斯维加斯举行的黑帽安全会议上,GoSecure研究人员发布了一份新的分析报告,详细介绍了那些滥用RDP的人是如何操作的。Bilodeau表示,该团队于2020年1月建立了RDP蜜罐,并在GoSecure系统之外创建,因此没有数据处于危险之中。然后,研究人员使用他们自制的RDP拦截工具PyRDP来捕获黑客。
很多人试图进入系统。在过去的三年里,它已经捕获了2100万次登录尝试,其中有2600多次成功登录是攻击者强行使用他们在系统上故意使用的弱密码。他们记录了2300个成功的登录,收集了470个上传的文件,并分析了339个有用的视频片段。(有些录音只有几秒钟长,而且被证明不太有用)“我们对这些系统上的技术、工具和所有工作进行了分类,”Bilodeau说。
Bergeron和Bilodeau根据角色扮演游戏《龙与地下城》中的角色类型将攻击者分为五大类。最常见的是游侠:一旦这些攻击者进入陷阱RDP会话,他们就会立即开始探索系统,删除Windows防病毒工具,深入研究文件夹,查看它所在的网络和机器的其他元素。骑警不会采取任何行动,伯杰龙说。“这是基本的侦察,”她说,暗示他们可能是在评估这个系统,以便其他人进入它。
其次是野蛮人。研究人员说,这些黑客使用多种黑客工具,如Masscan和NLBrute,来强行侵入其他计算机。他们通过IP地址、用户名和密码列表,试图闯入计算机。类似地,他们称之为向导的组织利用他们对RDP的访问对其他不安全的RDP发起攻击——可能在许多层上掩盖他们的身份。“他们使用RDP访问作为连接其他计算机的门户,”Bergeron说。
与此同时,小偷们做着他们的名字所暗示的事情。他们试图以任何可能的方式从RDP访问中赚钱。研究人员表示,他们使用流量货币化网站并安装加密货币挖矿机。他们可能不会一次赚很多钱,但多次妥协可以累积起来。
Bergeron和Bilodeau观察到的最后一个群体是最随意的:吟游诗人。研究人员说,这些人可能已经购买了RDP的访问权限,并出于各种原因使用它。伯杰龙说,研究人员看到一个人在谷歌上搜索“有史以来最强的病毒”,而另一个人试图访问谷歌广告。
其他人只是尝试(但失败了)找到色情内容。“当他在YouTube上搜索色情内容时,我们可以看出他处于初级水平——当然,什么也没有出现,”伯杰龙说,因为YouTube不允许色情内容。研究人员说,多次尝试访问色情内容的会话被发现,这些用户总是用波斯语写作,这表明他们可能试图在屏蔽色情内容的地方访问色情内容。(研究人员无法确定许多使用RDP的人是从哪里来的。)
尽管如此,观察攻击者可以发现他们的行为方式,包括一些更奇怪的行为。拥有犯罪学博士学位的Bergeron说,攻击者有时在工作上“非常缓慢”。她说,当她看着他们的时候,她常常“变得不耐烦”。“我的反应是:‘拜托,你不擅长这个’,或者‘走得更快’,或者‘走得更深’,或者‘你可以做得更好’。”
在一个案例中,攻击者正在磨磨蹭蹭,反复用鼠标在桌面上画出矩形。伯杰龙说:“感觉就像他们在打电话或和别人聊天,然后到处闲逛。”在另一个例子中,其中一个攻击者生成的密码可能包含了他们自己的名字。
比洛多说,这项研究提供了丰富的情报和信息。通常情况下,网络安全研究人员和那些与黑客打交道的人不得不依赖技术日志,而这些日志几乎无法揭示攻击背后的个人信息。他说:“我们看到他们安装了Telegram,然后登录了被入侵的系统。”这可能会泄露电话号码,而电话号码又可用于识别人员、国家代码和更多信息。他说:“不幸的是,我们收集证件和不能合法使用的东西。”这些细节可能对执法机构有用。
比洛多说,攻击者的自动化程度也不高。许多访问系统的人手动在系统周围点击,看看他们能找到什么,而不是使用可以自动扫描远程桌面的工具。
除了揭示黑客的行为外,该研究还强调了RDP被攻击的频率。来自Malwarebytes的斯托克利说,他最近做的一项搜索显示,网上大约有250万个rdp。此前,他设置了10个rdp作为黑客的蜜罐,攻击者花了1分24秒就开始试图闯入。这10家公司都在15小时后遭到袭击。“这绝对是网络罪犯的财源,”斯托克利说。他说,每隔7秒就会发生一次强制输入密码的尝试。
GoSecure的比洛多说,他认为其他人也应该推出自己的陷阱。他说,对公司来说,这可以显示出可能试图侵入其系统的黑客类型,并有助于说服首席执行官加大对网络安全的投资。在未来,Bilodeau说,GoSecure可能会开始包括可以加密到RDP中的文件,以鼓励更多的勒索软件罪犯花时间在系统中。他并不担心公开GoSecure一直在记录犯罪分子会阻止他们。如果有的话,这可能会让他们改变自己的行为,因为他们被监控着。“如果他们更小心,他们就会更慢,”比洛多说。“我们正在提高他们的攻击成本。”
