Comment une surveillance RDP inégalée révèle les techniques des attaquants

Article offert par GoSecure, partenaire de la JIQ 2023

Résumé : Cet article présente les observations découlant de la surveillance du protocole d’accès à distance menant à la caractérisation des attaquants. Celle-ci révèle cinq groupes distincts d’attaquants et souligne l’importance de la collecte d’informations pour comprendre les menaces.

par Andréanne Bergeron, Ph.D et Olivier Bilodeau

Avec un outil d’interception du protocole d’accès à distance RDP (pour Remote Desktop Protocol), les chercheurs ont réussi à recueillir une grande quantité d’informations (écran, clavier, souris, métadonnées) sur les attaquants opportunistes sous forme de vidéo. Un spécialiste en cybersécurité et une scientifique des données criminelles s’unissent pour livrer une histoire épique, présentée à BlackHat USA sous le titre « Je vous ai regardé lancer les dés : une surveillance RDP inégalée révèle les techniques des attaquants ». Dans le cadre de leur recherche, ils attirent les attaquants dans leurs pièges afin de pouvoir les étudier et mieux comprendre leurs méthodes. L’objectif est de concentrer collectivement notre attention sur des menaces plus sophistiquées.

RDP est un vecteur d’attaque critique utilisé par des acteurs malveillants incluant les groupes de rançongiciel. Pour étudier les attaques sur RDP, les chercheurs ont construit un réseau de honeypots composé de plusieurs serveurs Windows avec RDP exposé sur l’infonuagique opérés pendant trois ans. Les données collectées ont permis d’étudier le comportement des attaquants, ce qui a été utilisé pour classer les attaquants en différents groupes.

Les Rodeurs explorent les dossiers et fichiers, vérifient les caractéristiques de performance du réseau et de l’hôte, effectuent une reconnaissance en cliquant ou en utilisant des programmes/scripts. Aucune autre action significative n’est entreprise. Notre hypothèse est qu’ils évaluent le système qu’ils ont compromis afin qu’un autre profil d’attaquant puisse revenir ultérieurement. Pour voir un Rodeur en action, visionnez une session enregistrée sur YouTube.

Les Roublards essaient de monétiser l’accès RDP. Après avoir pris le contrôle de l’ordinateur en modifiant les identifiants d’accès, ils effectuent différentes activités visant à tirer parti de cet accès. Ils utilisent des outils comme traffmonetizer (proxyware), des navigateurs monétisés (participant à des systèmes de navigation rémunéré), ils installent et utilisent des cryptomineurs, téléchargent des émulateurs Android (pour faire de la fraude mobile), etc.

Les Barbares utilisent une variété d’outils pour forcer leur passage dans d’autres ordinateurs. Ils exploitent le système compromis pour tenter de compromettre d’autres systèmes en travaillant avec des listes d’adresses IP, de noms d’utilisateurs et de mots de passe. Ici, nous pouvons voir un Barbare utilisant Masscan, un outil de balayage de ports.

Les Magiciens utilisent l’accès RDP comme un portail pour se connecter à un autre ordinateur compromis. Ils cachent leur identité en sautant par-dessus des hôtes compromis. Pour ce faire, ils font preuve d’un haut niveau de compétence en vivant prudemment « off the land », c’est à dire en utilisant les outils déjà présents dans l’environnement. Vous pouvez voir un magicien à l’œuvre en suivant ce lien YouTube.

Les Bardes sont des individus sans compétences de piratage apparentes. Ils accèdent au système pour accomplir des tâches de base, telles que la recherche de virus grâce à une simple recherche Google ou pour regarder de la pornographie. Les captures montrent qu’ils ont potentiellement acheté un accès RDP à quelqu’un qui a compromis le système pour eux, tel qu’un courtier d’accès initial (initial access broker).

Conclusion

Comprendre et caractériser les attaquants nous permet de concentrer collectivement notre attention sur les modus operandi les plus courants et sur les menaces les plus sophistiquées.

La recherche met également de l’avant les formidables capacités de PyRDP et l’utilité potentielle de cette technologie pour les forces de l’ordre et les équipes de sécurité, en soulignant la possibilité d’intercepter légalement les environnements RDP utilisés par les groupes de rançongiciel et d’adopter des mesures proactives pour mieux protéger les organisations contre les attaques opportunistes. Les équipes de sécurité peuvent, quant à elles, exploiter les indicateurs de compromission (IOC) et déployer leurs propres pièges pour mieux protéger leurs organisations.