Множество людей пытались получить доступ к системе. За последние три года он зафиксировал 21 миллион попыток входа в систему, причем более 2600 успешных входов в систему были совершены злоумышленниками путем подбора слабого пароля, который они намеренно использовали в системе. Они зафиксировали 2300 таких успешных входов в систему, собрали 470 загруженных файлов и проанализировали 339 видео с полезными кадрами. (Некоторые записи длились всего пару секунд и оказались менее полезными.) «Мы каталогизировали методы, инструменты, все, что делается в этих системах», — говорит Билодо.
Бержерон и Билодо сгруппировали нападавших в пять широких категорий на основе типов персонажей из ролевой игры. Подземелья и драконы. Наиболее распространенными были рейнджеры: как только эти злоумышленники оказывались внутри RDP-сеанса-ловушки, они немедленно начинали исследовать систему, удаляя антивирусные инструменты Windows, копаясь в папках, просматривая сеть, в которой он находился, и другие элементы машины. По словам Бержерона, рейнджеры не предпримут никаких действий. «Это базовая разведка», — говорит она, предполагая, что они могут оценивать систему, чтобы другие могли войти в нее.
Варвары были следующим наиболее частым видом нападавших. Они используют несколько хакерских инструментов, таких как Масскан и NLBrute, чтобы проникнуть в другие компьютеры, говорят исследователи. Они работают со списком IP-адресов, имен пользователей и паролей, пытаясь проникнуть в машины. Точно так же группа, которую они называют волшебниками, использует свой доступ к RDP для запуска атаки на другие небезопасные RDP— потенциально маскируя свою личность на многих уровнях. «Они используют RDP-доступ в качестве портала для подключения к другим компьютерам, — говорит Бержерон.
Тем временем воры делают то, что следует из их названия. Они любыми способами пытаются заработать на доступе по RDP. Они используют сайты монетизации трафика и установить крипто майнеры, говорят исследователи. Они могут не заработать много за один раз, но несколько компромиссов могут сложиться.
Последняя группа, которую наблюдали Бержерон и Билодо, является самой случайной: барды. Исследователи говорят, что эти люди могли приобрести доступ к RDP и использовать его по разным причинам. Один человек, за которым наблюдали исследователи, ввел в Google «самый сильный вирус из когда-либо существовавших», говорит Бержерон, а другой пытался получить доступ к Google Ads.
Другие просто пытались (и не смогли) найти порно. «Мы можем видеть, на каком уровне он находится, когда он искал порно на YouTube — ничего не появляется, конечно», — говорит Бержерон, поскольку YouTube не разрешает порнографию. Исследователи говорят, что несколько сеансов пытались получить доступ к порно, и эти пользователи всегда писали на фарси, что указывает на то, что они могут пытаться получить доступ к порно на иностранном языке. места, где он заблокирован. (Исследователи не смогли окончательно определить, откуда многие из тех, кто обращался к RDP, делали это.)
Несмотря на это, наблюдение за нападающими показывает, как они себя ведут, в том числе и некоторые более своеобразные действия. Бержерон, у которого есть докторская степень в области криминологии, говорит, что злоумышленники иногда «очень медленно» выполняли свою работу. По ее словам, часто она «становилась нетерпеливой», наблюдая за ними. «Я такой: «Да ладно, ты в этом не силен», или «Иди быстрее», или «Иди глубже», или «Ты можешь лучше».
2023-08-09 20:30:00
1691626997
#Умная #приманка #заставила #хакеров #раскрыть #свои #секреты
