GoldBrute僵尸網(wǎng)絡(luò)針對150多萬臺RDP服務(wù)器發(fā)起攻擊。
據(jù)外媒報道,一個新的僵尸網(wǎng)絡(luò)被稱為GoldBrute,掃描隨機IP地址來檢測暴露了RDP的Windows機器,有150多萬臺RDP服務(wù)器易受攻擊。
與其他僵尸網(wǎng)絡(luò)一樣,GoldBrute并沒有使用弱口令,也沒有利用數(shù)據(jù)泄露中的重復(fù)密碼,而是使用自己的用戶名和密碼列表來發(fā)起蠻力攻擊。
Morphus實驗室的安全研究人員檢測到正在進行的惡意攻擊,該攻擊由一臺C&C服務(wù)器控制,僵尸網(wǎng)絡(luò)之間的通信交流通過端口8333使用對稱加密算法AES進行。
GoldBrute僵尸網(wǎng)絡(luò)的攻擊
bot首先掃描互聯(lián)網(wǎng),尋找暴露了遠程桌面協(xié)議服務(wù)的Windows主機。它一旦找到主機,就向C&C服務(wù)器報告,如果報告了80個主機,那么C&C服務(wù)器將分配一個目標(biāo)來發(fā)動暴力攻擊。
值得注意的是,每個bot只對目標(biāo)嘗試一個用戶名和密碼,以避免檢測。這可能是一種安全工具的策略,因為每次身份驗證嘗試都來自不同的地址。
一旦攻擊成功,它將下載zip archive,解壓縮后運行一個名為“bitcoin.dll.”的jar文件。然后,新的bot開始掃描互聯(lián)網(wǎng)上開放的RDP服務(wù)器。如果它發(fā)現(xiàn)新的IP,那么它將繼續(xù)報告給C&C服務(wù)器。一旦它達到80個RDP服務(wù)器,那么C&C服務(wù)器將為新bot分配一組目標(biāo)。在暴力攻擊階段,bot將不斷從C&C服務(wù)器獲得用戶名和密碼組合。
研究人員在實驗室環(huán)境下測試了bot,6小時后從C2服務(wù)器接收了210萬個IP地址,其中有1596571個是唯一的。據(jù)悉,GoldBrute的目標(biāo)是全球暴露在互聯(lián)網(wǎng)上的RDP機器。
如果你確保已經(jīng)修補了Bluekeep RCE的漏洞,現(xiàn)在是時候準(zhǔn)備對付GoldBrute了,因為bot會繼續(xù)掃描和發(fā)展。
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
8701瀏覽量
84541 -
僵尸網(wǎng)絡(luò)
+關(guān)注
關(guān)注
0文章
18瀏覽量
8854
原文標(biāo)題:新的僵尸網(wǎng)絡(luò)出現(xiàn),150多萬臺RDP服務(wù)器很危險!
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論