RDP honeypotlar, güvenlik araştırmacılarının ve organizasyonların ağ güvenliğini test etmek ve saldırıları analiz etmek için kullanılan özel sistemlerdir. Bir tür tuzak olarak düşünülebilirler ve saldırganları çekmek ve onların saldırı yöntemlerini, sıklığını ve niyetlerini tespit etmek için kullanılırlar.
Son zamanlarda, RDP honeypotlarının saldırganlar arasında popüler bir hedef haline geldiği gözlemlenmiştir. Brute force saldırıları, saldırganların bir kullanıcı adı ve şifre kombinasyonu deneyerek sisteme erişmeye çalıştığı yaygın bir saldırı yöntemidir. RDP honeypotlarının bu tür saldırılara maruz kalması, saldırganların gerçek hedefleri yerine tuzak sistemleri hedef almalarını sağlar.
GoSecure tarafından yapılan bir araştırmaya göre, son altı ay içinde bir RDP honeypot, 1.500’den fazla IP adresinden 3.427.611 kez atak girişimini kayıt etti. Bu saldırılar, farklı IP adreslerinden ve farklı coğrafi konumlardan gelmiştir. Saldırganlar genellikle standart kullanıcı adları (örneğin “admin”, “administrator”) ve yaygın şifre kombinasyonlarını deneyerek sisteme girmeye çalışmışlardır.
Bal küpü üç yılı aşkın bir süredir aralıksız çalışıyor ve bir yılı aşkın süredir de düzenli olarak çalışıyor ancak sunum için toplanan veriler yalnızca 1 Temmuz ile 30 Eylül 2022 arasındaki üç ayı temsil ediyor. Ancak, tüm yıl için saldırı sayısı 13 milyon giriş denemesine ulaştı.
Yukarıdaki görüntüdeki üç tek kullanıcı adının honeypot sistemiyle ilgili olduğunu açıklandı.
Bu saldırıların büyük bir kısmı otomatik botlar tarafından gerçekleştirilen saldırılar olup, otomatikleştirilmiş saldırı araçlarının kullanılmasıyla gerçekleştirilmiştir. Bu tür saldırılar, çevrimiçi saldırganların büyük ölçekli saldırı kampanyalarını yönetmelerini kolaylaştırır ve otomatikleştirme sayesinde milyonlarca deneme yapmalarını sağlar.
RDP honeypotlarının bu kadar sık saldırıya uğramasının birçok sebebi vardır. Birincisi, RDP protokolünün yaygın olarak kullanılmasıdır. Birçok organizasyon, uzak erişim ve yönetim için RDP’yi tercih etmektedir ve bu da saldırganların potansiyel hedefler bulma şansını artırır.
Ps: Honeypot’un Türkçe karşılığı balküpü olarak geçmektedir, Teknik Türkçe dökümanlarda bazı yerlerde jargona balküpü olarak girmiştir.
Kaynak: bleepingcomputer
