GoldBrute er navnet på et nyt botnet, der i øjeblikket scanne internettet og forsøger at lokalisere dårligt beskyttede Windows-maskiner med RDP (Remote Desktop Protocol) forbindelse aktiveret.
Den botnet blev opdaget af sikkerhedsekspert Renato Marinho af Morphus Labs, der siger, at det har været at angribe 1,596,571 RDP endepunkter. Dette tal forventes at stige i de kommende dage.
GoldBrute Botnet angreb Forklaret
I øjeblikket, den GoldBrute botnettet er bruteforcing en liste på omkring 1.5 million RDP-servere, der udsættes for internettet, forskeren siger. Det er vigtigt at nævne, at Shdoan lister over 2.4 million eksponerede servere, og GoldBrute implementerer sin egen liste. Den botnet aktivt udvidelse af listen, da det fortsætter med at scanne.
Det første skridt i en GoldBrute angreb bruteforcing Windows-systemer og få adgang via RDP. Så botnettet downloader en .zip-fil, der indeholder den skadelige GoldBrute kode, og begynder at scanne internettet for nye RDP endpoints, som stadig ikke er medtaget i sin egen liste.
Når den opdager 80 nye RDP endpoints, botnettet sender listen over IP-adresser til sin afsides kommando-og-kontrol-server. Inficerede systemer modtager derefter en liste over IP-adresser klar til bruteforcing. Hver IP-adresse får kun en kombination af brugernavn og adgangskode til botten til at forsøge autentificering. Der er en anden kombination for hver bot.
Når alle betingelserne er opfyldt ovenfor, bot udfører bruteforce angreb og rapporterer resultaterne tilbage til sin kommando og kontrol-server.
Renato Marinho analyse af GoldBrute kode gjorde det muligt for ham at manipulere koden for at gøre det gemme alle ”vært + brugernavn + password”kombinationer på laboratoriet maskine:
Efter 6 timer, vi modtog 2.1 million IP-adresser fra C2-server, hvorfra 1,596,571 er unikke. Selvfølgelig, vi ikke udføre brute-force fase, forskeren sagde i sin rapport.
Forskeren var også i stand til at geolokation og plot alle adresser i en global verden kortet ved hjælp af en ELK stak.
Afslutningsvis, selvom GoldBrute er ikke så imponerende i sit angreb mekanisme, det er unikt på den måde, det udfører bruteforce drift, da det hjælper det forblive uopdaget.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: