GoldBrute僵尸網(wǎng)絡(luò)針對150多萬臺RDP服務(wù)器發(fā)起攻擊。

據(jù)外媒報(bào)道，一個新的僵尸網(wǎng)絡(luò)被稱為GoldBrute，掃描隨機(jī)IP地址來檢測暴露了RDP的Windows機(jī)器，有150多萬臺RDP服務(wù)器易受攻擊。

與其他僵尸網(wǎng)絡(luò)一樣，GoldBrute并沒有使用弱口令，也沒有利用數(shù)據(jù)泄露中的重復(fù)密碼，而是使用自己的用戶名和密碼列表來發(fā)起蠻力攻擊。

Morphus實(shí)驗(yàn)室的安全研究人員檢測到正在進(jìn)行的惡意攻擊，該攻擊由一臺C&C服務(wù)器控制，僵尸網(wǎng)絡(luò)之間的通信交流通過端口8333使用對稱加密算法AES進(jìn)行。

GoldBrute僵尸網(wǎng)絡(luò)的攻擊

bot首先掃描互聯(lián)網(wǎng)，尋找暴露了遠(yuǎn)程桌面協(xié)議服務(wù)的Windows主機(jī)。它一旦找到主機(jī)，就向C&C服務(wù)器報(bào)告，如果報(bào)告了80個主機(jī)，那么C&C服務(wù)器將分配一個目標(biāo)來發(fā)動暴力攻擊。

值得注意的是，每個bot只對目標(biāo)嘗試一個用戶名和密碼，以避免檢測。這可能是一種安全工具的策略，因?yàn)槊看紊矸蒡?yàn)證嘗試都來自不同的地址。

一旦攻擊成功，它將下載zip archive，解壓縮后運(yùn)行一個名為“bitcoin.dll.”的jar文件。然后，新的bot開始掃描互聯(lián)網(wǎng)上開放的RDP服務(wù)器。如果它發(fā)現(xiàn)新的IP，那么它將繼續(xù)報(bào)告給C&C服務(wù)器。一旦它達(dá)到80個RDP服務(wù)器，那么C&C服務(wù)器將為新bot分配一組目標(biāo)。在暴力攻擊階段，bot將不斷從C&C服務(wù)器獲得用戶名和密碼組合。

研究人員在實(shí)驗(yàn)室環(huán)境下測試了bot，6小時后從C2服務(wù)器接收了210萬個IP地址，其中有1596571個是唯一的。據(jù)悉，GoldBrute的目標(biāo)是全球暴露在互聯(lián)網(wǎng)上的RDP機(jī)器。

如果你確保已經(jīng)修補(bǔ)了Bluekeep RCE的漏洞，現(xiàn)在是時候準(zhǔn)備對付GoldBrute了，因?yàn)閎ot會繼續(xù)掃描和發(fā)展。