RDP服务器噩梦—— GoldBrute僵尸网络

发布者:上海IT外包来源:http://www.lanmon.net点击数:1196

在最近的网络攻击中,关于BlueKeep漏洞数量的讨论可能是最热门的。但研究人员最近警告说,新发现的GoldBrute僵尸网络目前对Windows系统构成威胁,就像BlueKeep一样。
僵尸网络
1.概述
安全研究人员发现了一种持续且复杂的僵尸网络活动,目前正在对互联网上超过150万个可公开访问的Windows RDP(远程桌面协议)服务器进行暴力攻击。 GoldBrute僵尸网络由C2(命令和控制)服务器控制,并与位于美国新泽西州的IP地址(104.156.249.231)相关联。
全球RDP服务器分发
全球RDP服务器分发
名为GoldBrute的僵尸网络可以通过不断添加新的破解系统然后破解它们来进一步找到新的可用RDP服务器。为了逃避安全工具和恶意软件分析师的检测,此恶意活动背后的威胁参与者命令其僵尸网络中的每个受感染设备使用唯一的用户名和密码组合,从而允许目标服务器接收来自不同IP地址的暴力攻击。尝试。
2.攻击过程
互联网安全机构Morphus Labs的首席研究员Renato Marinho发现的恶意活动的具体过程如下图所示:
全球RDP服务器分发
步骤1:成功暴力破解RDP服务器后,攻击者将在设备上安装基于Java的GoldBrute僵尸网络恶意软件。
步骤2:为了控制受感染的设备,攻击者使用一组固定的C2(命令和控制)服务器通过AES加密的WebSocket连接交换命令和数据。
第三步和第四步:每个受感染的设备然后接收第一个任务命令以扫描并报告至少80个可公开访问的新RDP服务器的列表,这些服务器可以是暴力强制的。
步骤5和6:攻击者为每个受感染设备分配一组特定的用户名和密码作为其第二个任务命令,这需要在上面的列表中对RDP服务器进行破解尝试。步骤7:成功破解后,受感染设备将自动将登录凭据上传到C2服务器。
目前还不清楚有多少RDP服务器遭到入侵并涉及对互联网上其他RDP服务器的暴力攻击。
当时,研究人员通过快速的Shodan搜索发现,大约有240万台Windows RDP服务器可以在互联网上公开访问,其中一半以上可能正在遭受暴力攻击。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部