GoldBrute僵尸网络黑掉150万RDP服务器

7月 16,2019by admin

据外媒报道,一个新的僵尸网络被称为GoldBrute,扫描随机IP地址来检测暴露了RDP的Windows机器有150多万台RDP服务器易受攻击。
 
与其他僵尸网络一样,GoldBrute并没有使用弱口令,也没有利用数据泄露中的重复密码,而是使用自己的用户名和密码列表来发起蛮力攻击。
 
Morphus实验室的安全研究人员检测到正在进行的恶意攻击,该攻击由一台C&C服务器控制,僵尸网络之间的通信交流通过端口8333使用对称加密算法AES。
 

 
GoldBrute僵尸网络的攻击
 
bot首先扫描互联网,寻找暴露了远程桌面协议服务的Windows主机。它一旦找到主机,就向C&C服务器报告,如果报告了80个主机,那么C&C服务器将分配一个目标来发动暴力攻击。
 
下载含有GoldBrute Java和Java runtime代码的zip包。僵尸代码有80MB大小,因为其中包含有完整的Java Runtime环境。其中有一个Java类叫做GoldBrute,含有僵尸主机代码。
 
僵尸主机开始扫描网络上可以进行暴力破解的RDP服务器,并发送其IP地址到C2,C2会发回一些要进行暴力破解的IP地址列表。GoldBrute感染的系统首先扫描暴露了RDP服务器的web网络,然后通过加密的WebSocket连接的形式发送给C2服务器,使用的端口为8333,该端口主要被用于比特币连接。
 
值得注意的是,每个bot只对目标尝试一个用户名和密码,以避免检测。这可能是一种安全工具的策略,因为每次身份验证尝试都来自不同的地址。
 

 

一旦攻击成功,它将下载zip archive,解压缩后运行一个名为“bitcoin.dll.”的jar文件。然后,新的bot开始扫描互联网上开放的RDP服务器。如果它发现新的IP,那么它将继续报告给C&C服务器。一旦它达到80个RDP服务器,那么C&C服务器将为新bot分配一组目标。在暴力攻击阶段,bot将不断从C&C服务器获得用户名和密码组合。
 
研究人员在实验室环境下测试了bot,6小时后从C2服务器接收了210万个IP地址,其中有1596571个是唯一的。据悉,GoldBrute的目标是全球暴露在互联网上的RDP机器。
 
如果你确保已经修补了Bluekeep RCE的漏洞,现在是时候准备对付GoldBrute了,因为bot会继续扫描和发展。
 
研究人员分析发现只使用了一个IP地址为104.156.]249.231的C2服务器,根据IP地址判断位于美国新泽西州。
 

 

研究人员在实验室环境下测试了bot,6小时后从C2服务器接收了210万个IP地址,其中有1596571个是唯一的。据悉,GoldBrute的目标是全球暴露在互联网上的RDP机器。
 
如果你确保已经修补了Bluekeep RCE的漏洞,现在是时候准备对付GoldBrute了,因为bot会继续扫描和发展。