|
|
51CTO旗下网站
|
|
移动端

RDP服务器的梦魇——GoldBrute僵尸网络

最近的网络攻击活动中,可能要数BlueKeep漏洞的讨论热度最高了。但近日研究人员警告称,新发现的GoldBrute僵尸网络目前对Windows系统构成了不亚于BlueKeep带来的威胁。

作者:M6来源:MottoIN|2019-06-11 08:24

最近的网络攻击活动中,可能要数BlueKeep漏洞的讨论热度最高了。但近日研究人员警告称,新发现的GoldBrute僵尸网络目前对Windows系统构成了不亚于BlueKeep带来的威胁。

僵尸网络

1. 概览

安全研究人员已经发现了一个持续复杂的僵尸网络活动,该活动目前在互联网上暴力攻击了超过150万台可公开访问的Windows RDP(远程桌面协议)服务器。GoldBrute僵尸网络由一个C2(命令和控制)服务器控制,与位于美国新泽西州的IP地址(104.156.249.231)相关联。

全球RDP服务器分布

全球RDP服务器分布

这个被称为GoldBrute的僵尸网络能够通过不断添加新的破解系统,从而进一步寻找新的可用RDP服务器,然后破解它们。为了躲避安全工具和恶意软件分析师的检测,此恶意活动背后的威胁行为者命令其僵尸网络中每台受感染的设备使用唯一的用户名和密码组合,使得目标服务器接收来自不同IP地址的暴力破解尝试。

2. 攻击流程

由网络安全机构Morphus Labs的首席研究员Renato Marinho发现的该恶意活动,其具体流程如下图所示:

全球RDP服务器分布

第一步:在成功暴力破解RDP服务器后,攻击者会在此设备上安装一个基于Java的GoldBrute僵尸网络恶意软件。

第二步:为了控制受感染的设备,攻击者利用一个固定集中的C2(命令和控制)服务器,通过AES加密的WebSocket连接交换命令和数据。

第三、四步:随后,每台受感染的设备都会收到第一条任务指令,即扫描并报告至少80台可公开访问的新RDP服务器列表,这些服务器可以被暴力破解。

第五、六步:攻击者为每台受感染设备分配一组特定的用户名和密码,作为其第二条任务指令,它们需要针对上述列表中的RDP服务器进行破解尝试。

第七步:在成功破解后,受感染设备会自动向C2服务器上传登录凭据。

目前还不清楚到底有多少台RDP服务器已经遭到破坏,并参与了针对互联网上其他RDP服务器的暴力攻击。

彼时,研究员通过快速Shodan搜索显示,大约240万台Windows RDP服务器可以在互联网上公开访问,其中可能有一半以上的服务器正在遭遇暴力破解攻击。

【编辑推荐】

  1. 又一个长达10多年的0day被发现,危害程度不亚于当年WannaCry使用的“永恒之蓝”漏洞
  2. 谷歌发现G Suite漏洞:部分密码明文存储长达十四年
  3. 一指纹识别技术漏洞曝光:可跟踪Android和iOS设备
  4. 安全漏洞潜伏十四年,你的 Google 账号还好吗?
  5. APP漏洞利用组合拳——应用克隆案例分析
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

WOT2019全球人工智能技术峰会

WOT2019全球人工智能技术峰会

通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
共50章 | WOT峰会

0人订阅学习

Spring Boot 爬虫搜索轻松游

Spring Boot 爬虫搜索轻松游

全栈式开发之旅
共4章 | 美码师

77人订阅学习

Linux性能调优攻略

Linux性能调优攻略

性能调优规范
共15章 | 南非蚂蚁

221人订阅学习

读 书 +更多

精通Spring 2.0

本书是关于Spring 2.0的权威教程,是Java/Java EE开发者必备的参考书。本书详尽系统地介绍了Java EE的基础知识、Spring 2.0的各种功能,以...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO播客