GoldBrute僵尸网络瞄准Windows RDP系统的暴力破解狂欢

人工智能2020-07-29 09:21:09
导读黑客已经部署了一个僵尸网络,该网络主动针对运行远程桌面协议(RDP)连接的系统,使用难以检测的暴力破解机制。一位安全研究人员发现,迄

黑客已经部署了一个僵尸网络,该网络主动针对运行远程桌面协议(RDP)连接的系统,使用难以检测的暴力破解机制。一位安全研究人员发现,迄今为止已有超过150万个RDP终端被一个名为GoldBrute的僵尸网络所破坏,而这一数字预计只会上升。

尽管最近对Windows Bluekeep的关键漏洞给予了广泛的关注,但强调强暴仍然是一种危险的攻击手段。这在上个月被揭示为远程桌面服务(RDS),远程代码执行(RCE)和RDP漏洞,可能允许攻击者在旧Windows系统上运行任意恶意代码。

“微软修补了一个关键的远程代码执行漏洞,最近发布了远程桌面协议RDP,”他说。相比之下,蛮力僵尸网络一直在网上搜索暴露的RDP服务器,并利用不充分的密码建立一个黑客端点网络,Morphus Labs的首席研究官Renato Marinho说。

“虽然围绕这个'Bluekeep'漏洞报道的重点是修补易受攻击的服务器,但将RDP暴露在互联网上从来都不是一个好主意。“僵尸网络一直在扫描这些服务器,并使用弱密码和重用密码来访问它们。”

GoldBrute违反的系统将首先被指示下载包含恶意软件应变的80MB大小的ZIP文件。然后,该程序扫描随机IP地址,以查找具有已公开RDP服务器的潜在主机,这些服务器尚未列在已知端点的主GoldBrute目录中。

在找到80个新端点后,恶意软件会将此IP地址列表发送到单个远程命令和控制(C&C)服务器。反过来,受感染的系统会收到蛮力的IP地址列表。

至关重要的是,只有一次尝试破解列出的每个IP地址,只有一个用户名和密码组合。

据Marinho称,这是一种可能的策略,即“在安全工具的雷达下飞行”,因为每次身份验证尝试都来自不同的地址。这意味着GoldBrute的黑客攻击难以被企业部署的一系列安全系统检测到。

然后,成功的用户名和密码组合将反馈到C&C服务器,GoldBrute背后的攻击者将可以访问它们。

在分析了GoldBrute代码并试图了解其机制之后,Marinho的团队获得了210万个IP地址,其中1,596,571个是唯一的。然后,他们将这些地址绘制在全球地图上,韩国是攻击的明确热点,其次是亚洲其他地区以及美国,中欧和英国的地点。

与此同时,鉴于困扰传统Windows系统的Bluekeep威胁,国家网络安全中心(NCSC)已重申建议企业尽快应用微软最新的安全补丁。

组织还应关注面向外部的RDP服务,关键服务器(如域控制器和管理服务器)以及非关键服务器(但启用了RDP的服务器)。

免责声明:本文由用户上传,如有侵权请联系删除!