Son üç yılda, bilmeden veri veya kötü amaçlı yazılım dağıtımı arayan bilgisayar korsanları, ABD’de barındırılan ve gerçekte zekice tasarlanmış bir tuzak olan görünüşte savunmasız bir sanal makine buldular.
Bu zekice tasarlanmış tuzak, siber güvenlik araştırmacıları tarafından bilgisayar korsanlarını kandırmak ve bir bal küpü yardımıyla karanlık sırlarını açığa çıkarmalarını sağlamak için yerleştirildi.
2.000’den fazla bilgisayar korsanı bir makineyi ihlal ederek GoSecure uzmanlarının aşağıdakiler de dahil olmak üzere eylemlerini görünmez bir şekilde kaydetmesine izin verdi:-
- Ekran etkinliği
- Fare tıklamaları
- Veri kapmak
- Meta veriler
Hackerlar için Tuzak
GoSecure, RDP müdahale araçlarını kullanarak saldırganlar hakkında kapsamlı bilgi topladı ve BlackHat ABD’de çığır açan bir sunumda paylaştı:-
- Die Roll the Die’ı İzledim: Eşsiz RDP İzleme Saldırganların Ticaretini Ortaya Çıkardı
Bu hikaye, odağı gelişmiş tehditlere kaydırmak için tehdit aktörlerini cezbetmeyi, anlamayı, karakterize etmeyi ve onlarla başa çıkmayı içeriyor.
Fidye yazılımı grupları gibi tehdit aktörleri, Uzak Masaüstü Protokolünü (RDP) aktif olarak kullanır. Bu yüzden bunu incelemek için; uzmanlar, aşağıdaki temel yeteneklere sahip açık kaynaklı bir müdahale aracı olan PyRDP’yi hazırladı: –
- Eşsiz ekran
- Parça Klavyesi
- Fare tıklamalarını izleyin
- Pano veri toplama
- dosya koleksiyonu
API Saldırıları %400 Arttı – API’lerinizi Pozitif Güvenlik Modeli ile Korumanın Temellerini Anlayın – Ücretsiz Web Semineri İçin Şimdi Kaydolun
Şimdi üye Ol
Yakalanan veriler
Ayrıca, GoSecure’daki güvenlik araştırmacıları, RDP Windows sunucuları ile özel olarak tasarlanmış bulut tabanlı bir bal ağı tuzağı oluşturup kurdu ve ardından bunları 3 yıl boyunca çalıştırdı.
3 yıllık bir süre içinde, aşağıdakileri içeren birkaç temel veri ve 190 milyondan fazla olayı toplamayı başardılar:-
- 100 saatlik video kaydı
- Tehdit aktörlerinden toplanan 470 dosya
- 20.000’den fazla RDP yakalaması
Hackerları Gruplandırma
Güvenlik analistleri tarafından toplanan tüm veriler, bilgisayar korsanlarını davranışlarına göre belirli farklı gruplara ayırmak için kullanılır.
Aşağıda, bilgisayar korsanlarının tüm gruplarından bahsetmiştik: –
- Korucular: Bu grup, klasörleri kapsamlı bir şekilde araştırır, performansı değerlendirir ve tıklamalar veya komut dosyaları aracılığıyla keşif gerçekleştirir ve muhtemelen güvenliği ihlal edilmiş sistemleri gelecekteki saldırılar için değerlendirir.
Onları çalışırken izleyin: –
- Hırsızlar: Bu grup, RDP erişiminden yararlanarak kimlik bilgilerini değiştirerek kontrolü ele alıyor ve traffmonetizer, sörf yapmak için ödeme yapan tarayıcılar, kripto madencileri ve mobil dolandırıcılık için Android emülatörleri dahil olmak üzere çeşitli para kazanma etkinliklerine katılıyor.
- barbarlar: Bu grup, IP listeleri, kullanıcı adları ve parolalarla güvenliği ihlal edilmiş sistemlerden yararlanarak yaygın kaba kuvvet saldırıları için çeşitli araçlar kullanır.
- Sihirbazlar: Bu grup, RDP erişimini benzer şekilde güvenliği ihlal edilmiş diğer bilgisayarlara bağlanmak için bir portal olarak akıllıca kullanır ve onların operasyonel güvenliğini artırır. “Karadan yaşama” tekniklerinden ustaca yararlanmak, bu nedenle onları izlemek, derinlemesine tehdit istihbaratı için önemlidir.
Onları çalışırken izleyin: –
- Ozanlar: Bu grup bilgisayar korsanlığı becerilerinden yoksundur ve sistemi basit görevler için kullanır, muhtemelen onu tehlikeye atan İlk Erişim Aracılarından (IAB’ler) RDP erişimi satın alır.
Bununla birlikte, bu GoSecure vitrini RDP’nin araştırma, kolluk kuvvetleri ve savunma ekipleri için muazzam potansiyelini vurgulamaktadır. Fidye yazılımı RDP kurulumlarına yasal olarak müdahale, kayıtlı oturum istihbaratı aracılığıyla soruşturmalara yardımcı olur.
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, twitterve Facebook.