Исследователи в области информационной безопасности из компании GoSecure создали сеть открытых Windows‑серверов, настроенных с использованием протокола удалённого рабочего стола (RDP). При неправильной настройке скомпрометированными серверами можно управлять извне, поэтому для хакеров это интересная цель.
Исследование растянулось на три года. Всё это время злоумышленники, пытаясь украсть данные или развернуть вредоносное ПО, могли наткнуться на виртуальную машину-приманку (honeypot), размещённую в США. У компьютера был простой пароль, который мог взломать даже скрипткидди, но вся соль в том, что машина была не просто компьютером, а мониторинговой системой, позволяющей следить за действиями хакеров в режиме реального времени.
Исследователи наблюдали, как злоумышленники пытаются извлечь выгоду из доступной им уязвимости. Результатом исследования стало около 190 млн событий и 100 часов видеозаписей, демонстрирующих действия хакеров. Их ещё и классифицировать смогли. Всего получилось 5 групп: «рейнджеры», «варвары», «волшебники», «воры» и «барды». Каждая имела свои намерения и навыки.
Кроме того, удалось собрать ценную информацию о методах и инструментах, используемых хакерами. В некоторых случаях — даже личную информацию. Всего было зафиксировано 21 млн. попыток взлома машины, из которых 2600 оказались успешными.
Классификация хакеров
Всех злоумышленников, которые пытались использовать машину‑приманку, поделили на группы согласно принятой в игре Dungeons and Dragons классификации.
- Рейнджеры. Эти люди детально изучали взломанные компьютеры, словно производя первичную разведку местности. Проверяли характеристики сети и хоста, иногда меняли пароли. В основном они на этом и останавливались. Возможно, рейнджеры оценивали систему, которую удалось скомпрометировать, чтобы позже её могли использовать другие злоумышленники.
- Варвары. Злоумышленники из этой группы использовали скомпрометированные компьютеры‑приманки для взлома других компьютеров работая со списками IP‑адресов, имён пользователей и паролей. В работе варвары использовали Masscan и NLBrute.
- Волшебники. Хакеры использовали ханипот в качестве платформы для атак на другие компьютеры. Они пытались скрыть свои следы и фактическое происхождение атак, перепрыгивая через скомпрометированные хосты.
- Воры. Персонажи из этой категории пытались монетизировать обнаруженную уязвимую систему, устанавливая криптомайнеры. Они также ставили программы для мошенничества с кликами или генерации поддельного трафика на подконтрольные сайты. Некоторые пытались продать доступ к ханипоту другим хакерам.
- Барды. Хакеры с небольшим опытом, которые взламывали виртуальную машину без определённой цели. Например, один из бардов через RDP искал в Google «самый мощный вирус», другой скачивал порно и отправлял его себе через Telegram. Возможно, они использовали скомпрометированные компьютеры для обхода цензуры в своих странах. Многие подключались к ханипоту прямо со своих мобильных устройств.
Выводы
Исследователи отметили, что получили уникальный опыт, поскольку во время эксперимента словно бы наблюдали за действиями хакеров из‑за их плеча. Накопленная информация о том, как хакеры взаимодействуют с такими машинами, может быть полезна для правоохранительных органов или ИБ‑специалистов.
Другой вывод заключается в том, что использование таких виртуальных машин‑ловушек в системе может укрепить защиту компаний, поскольку злоумышленники не будут понимать, что именно они взламывают.
Особое внимание исследователи уделили тому, как часто системы RDP становятся объектом атак: попытки взлома происходили каждые 7 секунд!