Brute force : ce honeypot RDP a reçu 3,4 millions de tentatives de connexions en seulement 3 mois
Une expérience menée par les chercheurs en sécurité de GoSecure montre à quel point il est dangereux d'exposer sur Internet le service RDP d'un serveur, surtout si ce dernier n'a aucun système de protection.
À l'occasion de la conférence NorthSec qui s'est déroulée à Montréal au Canada, Andreanne Bergeron de l'entreprise GoSecure a évoqué les résultats d'un programme de recherche basé sur l'utilisation d'un honeypot RDP. Avec ce serveur volontairement exposé sur Internet sur le service RDP, GoSecure souhaitait en savoir plus sur les stratégies des cybercriminels. Pour qu'ils soient attirés, le serveur avait un nom de domaine laissant penser qu'il appartenait au réseau d'une banque.
Lors de cette présentation, ce sont les données comprises entre le 1er juillet et le 30 septembre 2022 qui ont été utilisées. Soit une période de trois mois. Sur cette période, le honeypot a reçu plus de 3,4 millions de tentatives de connexions en RDP, à partir de plus de 1 500 adresses IP sources. Sur l'année entière, puisque ce serveur honeypot est actif depuis au moins un an, ce total atteint 13 millions de tentatives de connexion. Autant de connexions que le serveur doit gérer et qui vont consommer de la ressource.
Sommaire
Des noms d'utilisateurs classiques, d'autres non
Sans surprise, ce serveur honeypot a été la cible de très nombreuses attaques par brute force effectuées à partir de dictionnaires de mots de passe et de noms de comptes courants comme "Administrator", mais aussi "Admin", "Administrador" et "Administrateur" afin de prendre en compte plusieurs langues.
À cela s'ajoute des noms un peu plus spécifiques à la cible, comme "offshorebank.com" ce qui montre qu'il y a tout de même une analyse et une reconnaissance effectuées sur le système cible. En fait, les cybercriminels ont utilisé le nom de l'hébergeur, du certificat et le nom de l'hôte.
Dans cet exemple, les identifiants du serveur étaient volontairement très simples : "admin/admin". Toutefois, seuls 25% des pirates ont fait l'effort d'explorer la machine à la recherche de fichiers importants. Celle-ci était vide, ce qui explique ce faible taux. C'est précisément après le brute force, qui lui est automatique, que l'humain intervient réellement sur la machine compromise.
La prochaine expérimentation consistera à remplir le serveur de données (avec de faux fichiers) afin de surveiller les actions de l'attaquant.
Quels sont les mots de passe utilisés ?
Grâce à la collecte des hashs des mots de passe, les chercheurs de GoSecure sont parvenus à retrouver certains mots de passe simples. Lors de ces attaques, il y a eu trois grandes catégories de mots de passe utilisées :
- Suite de 10 chiffres ou moins
- Des variantes du mot de passe "Password"
- Des variantes du nom du certificat
La journée de travail d'un cybercriminel
Andreanne Bergeron a évoquée les résultats d'une heatmap réalisée à partir des tentatives de connexions : l'activité forme un schéma quotidien avec des pauses, comme un "salarié classique". Alors, même si ces attaques sont automatisées, il y a clairement des blocs d'activités de plusieurs heures (4 heures, 8 heures ou 13 heures) qui laisse penser qu'il y a une intervention humaine, si ce n'est que pour lancer les attaques. La suite, elle, est automatisée.
Ce qui est surprenant, c'est que les attaques brute force sur le honeypot RDP s'arrêtaient chaque week-end : comme si le cybercriminel suivait un rythme de travail normal.
GoSecure précise que ces analyses sur les connexions RDP ont pu être réalisées avec l'outil PyRDP développé en interne par Olivier Bilodeau et qui est en libre accès sur GitHub. L'intervention de GoSecure est disponible sur YouTube.
celui là est pas mal aussi : https://sysadmins.co.za/capturing-54-million-passwords-with-a-docker-ssh-honeypot/