Hackfest 2023 - Back to the Future

Une surveillance RDP sans précédent révèle le savoir-faire des attaquants
10-13, 09:00–09:50 (Canada/Eastern), Track #2
Language: Français

Le protocole RDP (Remote Desktop Protocol) est un vecteur d'attaque critique utilisé par des acteurs malveillants, notamment par les groupes de rançongiciel. Pour étudier les attaques RDP, nous avons créé PyRDP, un outil d'interception RDP open source doté de capacités inégalées qui nous a permis de collecter plus de 100 heures de séquences vidéo d'attaquants en action.

Pour décrire les comportements des attaquants, nous avons caractérisé les différents archétypes d'attaquants en fonction de leurs caractéristiques à travers une analogie de Donjon et Dragon : 1) les bardes effectuant des recherches obtuses; 2) les rodeurs explorent furtivement les ordinateurs et effectuent de la reconnaissances ; 3) les voleurs tentent de monétiser l'accès RDP ; 4) les barbares utilisent une large gamme d'outils pour attaquer davantage d'ordinateurs ; et 5) les magiciens utilisent leur accès RDP comme portail magique pour dissimuler leurs origines.

Cette présentation démontre l’impressionnante capacité d'interception RDP pour les bénéfices de la recherche et les équipes de défense.


Lors de l’écriture de cette présentation, nous n’Avons pas pu nous empêcher de faire des parallèles avec l'univers de Donjon et Dragon qui a été popularisé récemment par Stranger Things et le film Honor Among Thieves. Nous avons pensé que ce récit soutiendrait bien notre histoire.

1) Le protocole RDP (Remote Desktop Protocol) comme vecteur d'attaque critique dans les groupes de rançongiciel.
2) Exploiter la profondeur des captures RDP
3) Présentation de notre outil d'interception. open source appelé PyRDP et de ses capacités.
Capacités d'écran, de clavier, de souris, de presse-papiers et de collecte de fichiers
Présentation de notre honeynet et de notre architecture système
4) Méthode de collecte de données (plus de 150 millions d'événements, dont 20 millions de hachages NetNTLMv2 capturés, 3 200 sessions de connexion réussies analysées, 570 fichiers transférés, 21 705 captures RDP collectées et plus de 100 heures de vidéos.
5) Caractériser les attaquants
Présentation des différents types d'attaquants, de leurs caractéristiques et séquence vidéo de leurs actions.
-Les bardes, sans compétences apparentes en matière de piratage informatique, effectuent des recherches obtuses ou regardent des vidéos pour adultes. Ils ont potentiellement acheté l'accès RDP à quelqu'un qui a compromis le système pour eux, alias Initial Access Brokers (IAB).
-Les rodeurs explorent furtivement les ordinateurs et effectuent de la reconnaissance, ouvrant ainsi la voie à d'autres types d’attaquants.
-Les voleurs tentent de monétiser l'accès RDP par diverses méthodes créatives, telles que des monétiseurs de trafic ou des cryptomineurs.
-Les barbares utilisent une large gamme d'outils pour attaquer davantage d'ordinateurs.
-Les magiciens, sécurisant leur identité via d’autres hôtes compromis, utilisent leur accès RDP comme portail magique pour dissimuler leurs origines.
6) Armement des attaquants
Nous couvrirons les outils utilisés par les différents attaquants comme MassScan GUI, NLBrute, SilverBullet, XMRig (cryptominer), Traffmonetizer, DControl et plus encore.


Are you releasing a tool?

No

Andréanne Bergeron has a Ph.D. in criminology from the University of Montreal and works as a cybersecurity researcher at GoSecure. Acting as the social and data scientist of the team, she is interested in online attackers’ behaviors. She is involved in the infosec community as the VP engagement and outreach for Northsec. Her experience as a speaker includes BlackHat USA, DefCon, BSides Montreal, NorthSec, CypherCon and Human Factor in Cybercrime among others.