Stellen Sie sich vor, Sie könnten hinter einem Hacker sitzen und beobachten, wie er die Kontrolle über einen Computer übernimmt und damit herumspielt.
Genau das haben zwei Sicherheitsforscher mithilfe eines großen Netzwerks von Computern getan, das als Honeypot für Hacker eingerichtet wurde.
Die Forscher stellten mehrere Windows-Server bereit, die absichtlich im Internet verfügbar waren und mit dem Remote Desktop Protocol (RDP) eingerichtet waren. Dies bedeutete, dass Hacker die kompromittierten Server aus der Ferne steuern konnten, als wären sie normale Benutzer, die tippen und herumklicken könnten.
Dank dieser Honeypots konnten die Forscher 190 Millionen Ereignisse und 100 Stunden Videomaterial von Hackern aufzeichnen, die die Kontrolle über die Server übernahmen und eine Reihe von Aktionen auf ihnen durchführten, darunter Aufklärung, die Installation von Malware, die Kryptowährungen schürft, und die Verwendung von Android-Emulatoren Klickbetrug, Brute-Force-Erpressung von Passwörtern für andere Computer, Verschleierung der Identität der Hacker durch Nutzung des Honeypots als Ausgangspunkt für einen weiteren Angriff und sogar das Anschauen von Pornos. Die Forscher sagten, dass ein Hacker, der sich erfolgreich in seinen Honeypot einloggt, allein „zig Ereignisse“ auslösen kann.
„Es ist im Grunde wie eine Überwachungskamera für das RDP-System, weil wir alles sehen“, sagt Andréanne Bergeron, die einen Doktortitel hat. in Kriminologie von der Universität Montreal, sagte Tech.
Bergeron, die auch für das Cybersicherheitsunternehmen GoSecure arbeitet, arbeitete bei dieser Forschung mit ihrem Kollegen Olivier Bilodeau zusammen. Die beiden stellten ihre Ergebnisse am Mittwoch auf der Cybersicherheitskonferenz Black Hat in Las Vegas vor.
Die beiden Forscher klassifizierten die Art der Hacker anhand Verliese und Drachen Charaktertypen.
Die „Rangers“, so die beiden, hätten die gehackten Computer sorgfältig erkundet, Erkundungen durchgeführt, manchmal Passwörter geändert und es meistens dabei belassen. „Unsere Hypothese ist, dass sie das System, das sie kompromittiert haben, evaluieren, damit später ein anderes Profil des Angreifers zurückkommen kann“, schrieben die Forscher ein Blogbeitrag am Mittwoch veröffentlicht, um ihren Vortrag zu begleiten.
Die „Barbaren“ nutzen die kompromittierten Honeypot-Computer, um mithilfe bekannter Listen gehackter Benutzernamen und Passwörter brutal in andere Computer einzudringen, wobei sie manchmal Tools wie Masscan verwenden, ein legitimes Tool, mit dem Benutzer das gesamte Internet per Portscan scannen können, so die Forscher .
Die „Wizards“ nutzen den Honeypot als Plattform, um sich mit anderen Computern zu verbinden und so ihre Spuren und den tatsächlichen Ursprung ihrer Angriffe zu verbergen. Laut dem, was Bergeron und Bilodeau in ihrem Blogbeitrag schrieben, können Verteidigungsteams Bedrohungsinformationen über diese Hacker sammeln und „tiefer in die kompromittierte Infrastruktur vordringen“.
Laut Bergeron und Bilodeau haben die „Diebe“ das klare Ziel, ihren Zugang zu diesen Honeypots zu Geld zu machen. Sie können dies tun, indem sie Krypto-Miner installieren, Programme zur Durchführung von Klickbetrug oder zur Generierung von gefälschtem Datenverkehr auf von ihnen kontrollierten Websites, und indem sie den Zugriff auf den Honeypot selbst an andere Hacker verkaufen.
Schließlich sind die „Barden“ Hacker mit sehr geringen oder fast keinen Fähigkeiten. Diese Hacker nutzten die Honeypots, um über Google nach Malware zu suchen und sogar Pornos anzuschauen. Diese Hacker verwendeten manchmal Mobiltelefone anstelle von Desktop- oder Laptop-Computern, um eine Verbindung zu den Honeypots herzustellen. Bergeron und Bilodeau sagten, sie glauben, dass diese Art von Hacker manchmal die kompromittierten Computer nutzt, um Pornos herunterzuladen, was in ihrem Herkunftsland möglicherweise verboten oder zensiert ist.
In einem Fall „lud ein Hacker den Porno herunter und schickte ihn sich selbst per Telegram.“ Damit wird im Grunde ein landesweites Verbot von Pornos umgangen“, sagte Bilodeau gegenüber Tech. „Was ich denke [the hacker] Dann lädt er es mit Telegram in einem Internetcafé herunter, speichert es auf USB-Sticks und verkauft es.“
Bergeron und Bilodeau kamen zu dem Schluss, dass die Möglichkeit, Hacker bei der Interaktion mit dieser Art von Honeypots zu beobachten, nicht nur für Forscher wie sie, sondern auch für Strafverfolgungs- oder Cybersicherheitsverteidigungsteams – auch als Blue Teams bekannt – sehr nützlich sein könnte.
„Strafverfolgungsbehörden könnten die von Ransomware-Gruppen genutzten RDP-Umgebungen rechtmäßig abfangen und in aufgezeichneten Sitzungen Informationen zur Verwendung bei Ermittlungen sammeln“, schrieben die Forscher in dem Blogbeitrag. „Blaue Teams ihrerseits können das konsumieren [Indicators of Compromise] und ihre eigenen Fallen ausrollen, um ihre Organisation weiter zu schützen, da sie dadurch eine umfassende Dokumentation des Handwerks opportunistischer Angreifer erhalten.“
Darüber hinaus müssen Hacker, wenn sie den Verdacht hegen, dass es sich bei den von ihnen kompromittierten Servern um Honeypots handeln könnte, ihre Strategien ändern und entscheiden, ob sich das Risiko, erwischt zu werden, lohnt Forscher.
Lesen Sie mehr auf Tech: