GoldBrute es el nombre de una nueva red de bots que actualmente está explorando el Internet y tratando de localizar las máquinas Windows mal protegidos con RDP (Protocolo de escritorio remoto) conexión habilitada.
La botnet fue descubierto por el investigador de seguridad Renato Marinho de Morphus laboratorios que dice que ha estado atacando 1,596,571 puntos finales RDP. Se espera que esta cifra aumente en los próximos días.
GoldBrute ataques de botnets Explicación
Actualmente, la botnet se GoldBrute fuerza bruta una lista de alrededor de 1.5 millón de servidores RDP expuestos a Internet, el investigador dice. Es importante mencionar que Shdoan Listas Sobre 2.4 millón de servidores expuestos, y GoldBrute está desplegando su propia lista. El botnet está extendiendo activamente la lista a medida que continúa para escanear.
El primer paso de un ataque de fuerza bruta se GoldBrute sistemas Windows y obtener acceso a través de la RDP. A continuación, la red de bots descarga un archivo .zip que contiene el código malicioso GoldBrute, y comienza a escanear el Internet para los nuevos criterios de valoración RDP que todavía no están incluidos en su propia lista.
Una vez que se descubre 80 nuevos criterios de valoración RDP, la red de bots es el envío de la lista de direcciones IP a su servidor de comando y control remoto. Los sistemas infectados reciben entonces una lista de direcciones IP listo para la fuerza bruta. Cada dirección IP se pone una sola combinación de nombre de usuario y la contraseña para el robot para intentar la autenticación. Hay una combinación diferente para cada bot.
Una vez que todas las condiciones están por encima reunieron, el robot realiza el ataque de fuerza bruta e informa de los resultados de vuelta a su servidor de comando y control.
análisis de código de GoldBrute de renato Marinho hizo posible para él para manipular el código para que sea guardar todos “anfitrión + nombre de usuario + “contraseña combinaciones en la máquina de laboratorio:
Después 6 horas, recibimos 2.1 millones de direcciones IP desde el servidor desde el que C2 1,596,571 son únicos. Por supuesto, No ejecutamos la fase de fuerza bruta, el investigador dijo en su informe.
El investigador también fue capaz de geolocalizar y trazar todas las direcciones en un mapa global del mundo mediante el uso de una pila ELK.
En conclusión, a pesar de que GoldBrute no es tan impresionante en su mecanismo de ataque, es único en la forma en que se realiza la operación de fuerza bruta ya que ayuda a que permanezca sin ser detectado.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: