Honeypot RDP fue atacado 3.5 millones de veces en ataques de fuerza bruta
Las conexiones de escritorio remoto (RDP) son un imán tan poderoso para los hackers que una conexión expuesta puede promediar más de 37,000 veces al día desde varias direcciones IP.
Durante esta fase, los ataques son automatizados. Pero una vez que obtienen las credenciales de acceso correctas, los hackers comienzan a buscar archivos importantes o confidenciales manualmente.
Los hackers pululan por RDP
Un experimento que utiliza honeypots de alta interacción con una conexión RDP accesible desde la web pública muestra cuán implacables son los atacantes y que operan dentro de un horario diario muy parecido al horario de trabajo de la oficina.
Durante tres meses, los investigadores de GoSecure, una empresa de respuesta y caza de amenazas con sede en Estados Unidos y Canadá, registraron cerca de 3.5 millones de intentos de inicio de sesión en su sistema de trampa RDP.
Andreanne Bergeron, investigadora de ciberseguridad en GoSecure, explicó en la conferencia de ciberseguridad NorthSec en Montreal, Canadá, que los honeypots están vinculados a un programa de investigación. El programa tiene como objetivo comprender las estrategias de los atacantes que podrían traducirse en consejos de prevención.
El honeypot ha estado funcionando intermitentemente durante más de tres años y funcionando de manera constante durante más de un año. No obstante, los datos recopilados para la presentación representan solo tres meses, entre el 1 de julio y el 30 de septiembre de 2022.
Durante este tiempo, el señuelo fue atacado 3,427,611 veces desde más de 1.500 direcciones IP. Sin embargo, el recuento de ataques durante todo el año alcanzó los 13 millones de intentos de inicio de sesión.
Para despertar el apetito de los atacantes, los investigadores nombraron el sistema para que pareciera ser parte de la red de un banco.
Ataques
Como era de esperar, los intentos de compromiso se basaron en ataques de fuerza bruta basados en múltiples diccionarios y el nombre de usuario más común fue “Administrator” y una variación del mismo (por ejemplo, versión corta, idioma diferente o mayúsculas y minúsculas).
Sin embargo, en unos 60,000 casos, el atacante hizo un reconocimiento antes de intentar encontrar el inicio de sesión correcto y ejecutó algunos nombres de usuario que obviamente están fuera de lugar en el conjunto a continuación.
Bergeron explicó que los tres nombres de usuario extraños en la imagen de arriba están relacionados con el sistema honeypot (nombres del certificado RDP y el host y el proveedor de alojamiento).
La presencia de estos datos en los 12 principales nombres de inicio de sesión probados indica que al menos algunos de los hackers no probaron a ciegas los pares de credenciales para iniciar sesión. En otras palabras, primero recopilaron información sobre la víctima.
Bergeron dijo que el sistema recolectó hashes de las contraseñas y los investigadores pudieron revertir las más débiles. Los resultados mostraron que la estrategia más común fue utilizar una variación del certificado RDP, seguida de variantes de la palabra ‘password’ y una cadena simple de hasta diez dígitos.
Una observación interesante al correlacionar estas estadísticas con las direcciones IP de ataque es que el nombre del certificado RDP se usó exclusivamente en intentos de inicio de sesión desde IPs en China (98 %) y Rusia (2 %).
Sin embargo, esto no significa necesariamente que los atacantes sean de los dos países, sino que usan infraestructura en las dos regiones.
Otra observación es que muchos atacantes (15%) combinaron miles de contraseñas con solo cinco nombres de usuario.
Un día normal de trabajo
La participación humana en el ataque se hizo más evidente más allá de esta etapa inicial de fuerza bruta cuando los hackers comenzaron a husmear dentro del sistema en busca de datos valiosos.
Profundizando más en los datos, Bergeron creó un mapa de calor para las direcciones IP dirigidas al señuelo y notó que la actividad formaba un patrón diario con pausas que indicaban que los hackers se estaban tomando un descanso.
Muchos fragmentos de actividad abarcan más de cuatro horas y hasta ocho, aunque algunas sesiones duraron hasta 13 horas. Esto sugiere la intervención humana, al menos para lanzar los ataques, y parece seguir un programa de algún tipo.
Agregando peso a esta observación está el hecho de que la actividad de fuerza bruta se detuvo durante los fines de semana, lo que posiblemente sugiera que los atacantes están tratando la actividad de hacking como un trabajo regular.
Vale la pena señalar que todos estos fueron intentos de inicio de sesión automatizados que no requirieron supervisión humana una vez que el script se modificó correctamente.
En un ejemplo, Bergeron notó una brecha de ocho horas entre ataques e infirió que podría indicar que un atacante trabajaba por turnos.
El toque humano y el nivel de sofisticación también fueron visibles en los ataques personalizados para el objetivo (14 %), así como en la adición de un retraso entre cada intento de inicio de sesión para imitar la actividad de una persona real.
A pesar de que los investigadores redujeron la dificultad de inicio de sesión en el honeypot con el par de credenciales ‘admin/admin’, Bergeron dijo que solo el 25% de los hackers comenzaron a explorar la máquina en busca de archivos importantes.
En busca de datos
Bergeron también dijo que el honeypot estaba vacío, por lo que probablemente solo una cuarta parte de los atacantes se demoraron en buscar datos. Sin embargo, el siguiente paso de la investigación sería llenar el servidor con archivos corporativos falsos y monitorear los movimientos y acciones del atacante.
Para registrar y almacenar los datos del ataque, que incluyen transmisiones de video en vivo de la sesión RDP del adversario, la investigación utilizó PyRDP, una herramienta de interceptación de código abierto desarrollada en GoSecure por Olivier Bilodeau, director de investigación de seguridad cibernética de la compañía y presidente de la conferencia NorthSec.
La charla de Andreanne Bergeron en NorthSec este año se titula “Humano versus máquina: el nivel de interacción humana en ataques automatizados dirigidos al protocolo de escritorio remoto”. Todas las charlas de ambas etapas de la conferencia están disponibles en el canal de YouTube de NorthSec.
