关于锐讯

成立于2004年,十多年经验积累,专注为客户提供优质的网络环境、接入带宽及高稳定性的网络服务

新僵尸网络GoldBrute曝光 150万台RDP服务器瑟瑟发抖
时间:2019.06.17   作者:网络   阅读:67

最近的网络攻击活动中,可能要数BlueKeep漏洞的讨论热度最高了。但近日研究人员警告称,新发现的GoldBrute僵尸网络目前对Windows系统构成了不亚于BlueKeep带来的威胁

GoldBrute僵尸网络黑掉150万RDP服务器

1. 概览

研究人员发现一个正在不断扩展的僵尸网络——GoldBrute,该僵尸网络扫描网络以寻找启用了RDP连接且未进行合理保护的Windows机器,目前已感染了超过150万RDP服务器。

对Shodan搜索引擎的研究发现有超过240万机器是可以通过网络访问的,并且启用了RDP协议。

GoldBrute僵尸网络由一个C2(命令和控制)服务器控制,与位于美国新泽西州的IP地址(104.156.249.231)相关联。​

这个被称为GoldBrute的僵尸网络能够通过不断添加新的破解系统,从而进一步寻找新的可用RDP服务器,然后破解它们。为了躲避安全工具和恶意软件分析师的检测,此恶意活动背后的威胁行为者命令其僵尸网络中每台受感染的设备使用唯一的用户名和密码组合,使得目标服务器接收来自不同IP地址的暴力破解尝试。

2. 攻击流程

由网络安全机构Morphus Labs的首席研究员Renato Marinho发现的该恶意活动,其具体流程如下图所示:

GoldBrute僵尸网络黑掉150万RDP服务器

第一步:在成功暴力破解RDP服务器后,攻击者会在此设备上安装一个基于Java的GoldBrute僵尸网络恶意软件。

第二步:为了控制受感染的设备,攻击者利用一个固定集中的C2(命令和控制)服务器,通过AES加密的WebSocket连接交换命令和数据。

第三、四步:随后,每台受感染的设备都会收到第一条任务指令,即扫描并报告至少80台可公开访问的新RDP服务器列表,这些服务器可以被暴力破解。

第五、六步:攻击者为每台受感染设备分配一组特定的用户名和密码,作为其第二条任务指令,它们需要针对上述列表中的RDP服务器进行破解尝试。

第七步:在成功破解后,受感染设备会自动向C2服务器上传登录凭据。

GoldBrute僵尸网络黑掉150万RDP服务器

目前还不清楚到底有多少台RDP服务器已经遭到破坏,并参与了针对互联网上其他RDP服务器的暴力攻击。

GoldBrute僵尸主机获取不同的host + username + password的组合。僵尸主机也会马上工作并搜索暴露的RDP服务器。在暴露破解过程中,僵尸主机会获取不同的主机IP地址、用户名和密码的组合来进行尝试。在分析GoldBrute的过程中,研究人员能够修改代码来保存所有的host+username+password组合。

僵尸主机执行暴力破解攻击并将结果报告给C2服务器。6小时后,研究人员一共从C2服务器收到210万IP地址,其中1696571个IP地址是唯一的。研究人员并没有进行暴力破解的测试。

受感染的系统遍布全球,具体如下图所示:

GoldBrute僵尸网络黑掉150万RDP服务器

最近,攻击者对RDP服务器的兴趣大大增加了。其中以BlueKeep为代表衍生出了许多RDP相关的漏洞和安全问题。总的来说,GoldBrute僵尸网络的攻击方法并不新颖,但其运行暴力破解的方式比较独特,可以更加静默地执行,而且还没有加入驻留。

研究人员分析认为可暴力破解的RDP目标的数量还在不断增加,因此僵尸网络的规模也在不断扩大。

以上为本文全部内容,更多IDC行业资讯,服务器知识,请关注锐讯网络

  GoldBrute,漏洞,网络安全

售前在线咨询

以下为10位资深销售主管官方企业Q,更多销售员Q请咨询销售主管

售后服务

或与官方提供的专属QQ一对一直接服务

工作时间: 周一至周五 9:30至17:30 周六13:30至17:30,其它日期按国家法定节假日休假,如果有不便之请敬请谅解! 售后技术支持:多部门7*24小时机制

客户投诉留言

电话和QQ,以便我们为您提供优质服务! *为必填项