一台RDP蜜罐三年来都记录了什么？

三年来，位于美国的一台虚拟机成功绊住了倒霉网络犯罪分子的脚步，挫败了他们盗取数据或部署恶意软件的意图。与其他无数台计算机类似，这台机器的弱密码也很容易被破解。但是，黑客们不知道的是，他们访问的这台远程机器就是个陷阱。

强行入侵这台机器的2000多名攻击者，每一步行动都被网络安全公司GoSecure的研究看在了眼里。研究人员悄悄录下了这台机器的屏幕，观察每一次鼠标点击和键盘敲击，并且偷偷拿下复制到攻击者自身设备剪贴板上的所有数据。

超过100小时的攻击录屏可以说是关于网络犯罪行为前所未有的数据量，对这些数据的分析显示，黑客泄露了很多他们最为宝贵的秘密。这些黑客无意中暴露了自己在用的黑客工具及其使用方式，也泄露了自己在攻入系统后会进行的操作。至于蠢到登录自身个人电子邮件账户的那些攻击者，他们还通过键盘交出了自己的个人生活信息。

有些攻击者很老练，有些就看起来没什么能力。还有些攻击者堪称行为诡异：有个登录到这台机器的黑客更换了桌面背景后退出系统，另一名攻击者则是写下“lol”（网络用语“Laugh Out Loud”，意思是“大笑”）后消除自身痕迹扬长而去。

GoSecure网络安全研究人员Andréanne Bergeron分析了这一大堆录屏。她表示，“这基本上就是个监控摄像头，可以展示他们所做的一切。”多年来，安全研究人员使用各种各样的蜜罐来捕获网络犯罪分子。“他们用到了很多个人信息，就连攻击都在用。”Bergeron补充道，“最终，他们跟我们也没什么差别。他们像我们一样思考，也会犯错，也会失误。”

Bergeron和她的同事，GoSecure网络安全研究总监Olivier Bilodeau，一起设置了这个蜜罐，用微软的远程桌面协议（RDP）来捕获潜在网络犯罪分子。RDP可供远程登录计算机并在本地计算机屏幕上看到远程机器的桌面。该设置需要用到用户名和密码，企业内部IT人员常使用该设置来帮同事解决问题和安装更新。

近年来，可通过密码猜解软件解锁的弱密码之类不安全登录导致RDP系统为网络犯罪分子攻入企业网络提供了关键入口点。Malwarebytes安全专家Mark Stockley研究不安全RDP后发现，勒索软件团伙尤其喜欢利用RDP进行攻击。Stockley并未参与到GoSecure的这项新研究，但他表示：“只要我能在你电脑上进行RDP会话，那基本上相当于我把你从椅子上拽下来，换我自己坐上去操作。”如果攻击者拿到了管理员权限，他们就可以逡巡整个网络并部署勒索软件。

8月9日，在美国拉斯维加斯的黑帽安全大会上，GoSecure研究人员呈现了自己的分析研究，详细介绍了攻击者是如何滥用RDP的。Bilodeau称，团队在2020年1月设置了RDP蜜罐，并且将之置于GoSecure的系统之外，以便保证没有任何数据处于风险之下。随后，研究人员用自研的RDP拦截工具PyRDP捕获黑客行动。

很多人尝试访问这个蜜罐系统。三年来，该蜜罐捕获了2100万次登录尝试，其中包括2600次成功登录：攻击者暴力破解了研究人员故意使用的弱密码。研究人员录下了其中2300次成功登录，收集到上传的470个文件，并分析了339个包含有用片段的视频。（有些记录只有几秒钟长，事实证明用处不大。）Bilodeau表示：“我们整理了这些系统上的技术、工具和攻击者在系统上的所作所为。”

根据角色扮演游戏《龙与地下城》中的角色类型，Bergeron和Bilodea将攻击者分为五大类。最常见的是游侠：这类攻击者一进入陷阱RDP会话就立即开始探索系统，卸载Windows杀毒工具，深入各个文件夹，查看其所在网络和机器上的其他元素。游侠不会采取任何行动，Bergeron表示。“基本上就是侦察。这表明他们可能是在评估系统好方便其他人入侵。”

野蛮人是攻击者中第二常见的类型。研究人员表示，这类攻击者使用Masscan和NLBrute等多种黑客工具暴力入侵其他计算机。他们尝试一系列IP地址、用户名和密码，试图闯入目标机器。与之类似，研究人员所谓的法师类攻击者使用其RDP访问权限对其他不安全RDP发起攻击，从而跨多层隐藏自身身份。Bergeron称：“法师将RDP访问权限用作连接其他计算机的门户。”

而盗贼类攻击者，所作所为与其称谓相符。他们试图以任何可能的方式将RDP权限变现。研究人员表示，他们会利用流量货币化网站和安装加密货币挖矿机。或许不能一夜暴富，但积少成多也相当可观了。

Bergeron和Bilodeau观测到的最后一类攻击者是最随性的：吟游诗人。这些人可能购买了RDP访问权限，然后将之用于各种目的。研究人员观察到有人在谷歌上搜索了“史上最强病毒”，还有人试图访问Google Ads。

尽管如此，观察攻击者可以发现他们的行为方式，包括一些颇为奇特的操作。Bergeron拥有犯罪学博士学位，她表示，攻击者有时候“行动非常迟缓”，经常让她在观察时“耐心告罄”。“我好想说：‘得了吧，你搞这个就不在行’，或者‘搞快点儿’，或者‘往深里挖啊’，或者‘你可以做得更好的’。”

某个案例里，攻击者磨磨蹭蹭，用鼠标在桌面上反复划拉矩形。“就好像他们在打电话或者在跟人撩闲。”Bergeron称。另一个案例，其中一个攻击者生成的密码可能包含了他们自己的名字。

Bilodeau表示，这项研究提供了大量情报和信息。网络安全研究人员和事件响应人员往往不得不依靠技术日志，但这些东西几乎无法揭示攻击背后的个人。“我们看到这些人安装Telegram，而且就在被入侵的系统上登录了。”他说道。这就有可能暴露出电话号码，而电话号码可用于进一步确定人、国别等更多信息。Bilodeau称：“我们收集到了凭证和一些我们无法合法使用的东西。”这些信息可能对执法机构有用。

Bilodeau表示，攻击者也没怎么用到自动化。访问这些系统的很多人都手动点击鼠标在系统里四处翻找，看看自己能找到什么，而不是用工具自动扫描远程桌面。

除了揭示黑客的行为，这项研究还凸显了RDP攻击有多么高发。Malwarebytes的Stockley称，他最近的一次搜索显示大约有250万RDP在线。此前，他为黑客准备了10个RDP蜜罐，1分钟24秒后攻击者开始尝试入侵。仅仅15小时后，全部10个RDP蜜罐均遭到攻击。“这对网络犯罪分子而言绝对是笔宝藏。”Stockley表示。每七秒钟就发生一次密码暴力破解。

GoSecure网络安全研究总监Bilodeau认为，其他人也应该推出自己的蜜罐。他表示，对企业而言，蜜罐可以显示出哪类黑客可能试图入侵他们的系统，有助于说服首席执行官在网络安全方面加大投资。未来，GoSecure可能会将可以加密的文件纳入RDP，从而引诱更多勒索软件罪犯在系统中呆上一段时间。Bilodeau并不担心透露出GoSecure一直在记录网络犯罪分子的所作所为会阻止他们继续犯罪。若说会有什么不同，那可能是他们会因为自己受到监视而改变自身行为吧。“只要他们更加谨慎了，他们的动作也会变得更慢。”Bilodeau表示，“我们在提高他们的攻击成本。”

* 本文为nana编译，原文地址：https://www.wired.com/story/hacker-honeypot-go-secure/
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。