GoldBrute est le nom d'un nouveau botnet qui est actuellement l'Internet numérise et tenter de localiser les machines Windows mal protégés avec RDP (Remote Desktop Protocol) connexion activée.
Le botnet a été découvert par le chercheur en sécurité Renato Marinho de Morphus Labs qui dit qu'il a été attaqué 1,596,571 critères d'évaluation RDP. Ce nombre devrait augmenter dans les prochains jours.
GoldBrute Botnet Attaques Explained
Actuellement, le botnet GoldBrute est bruteforcing une liste d'environ 1.5 millions de serveurs RDP exposés à Internet, le chercheur dit. Il est important de mentionner que Shdoan liste au sujet 2.4 millions de serveurs exposés, et GoldBrute déploie sa propre liste. Le botnet élargit activement la liste comme il continue à balayer.
La première étape d'une crise GoldBrute est bruteforcing les systèmes Windows et l'accès par la RDP. Ensuite, le botnet télécharge un fichier .zip qui contient le code malveillant GoldBrute, et commence à numériser l'Internet pour les nouveaux terminaux RDP qui ne sont toujours pas inclus dans sa propre liste.
Une fois qu'il découvre 80 nouveaux terminaux RDP, le botnet envoie la liste des adresses IP à son serveur à distance de commande et de contrôle. Les systèmes infectés reçoivent ensuite une liste d'adresses IP prêts à bruteforcing. Chaque adresse IP reçoit une seule combinaison de nom d'utilisateur et mot de passe pour le bot pour tenter l'authentification. Il y a une combinaison différente pour chaque bot.
Une fois que toutes les conditions sont ci-dessus se sont réunis, le robot effectue l'attaque de force brute et rend compte des résultats à sa commande et de contrôle du serveur.
L'analyse de Renato Marinho du code de GoldBrute a permis pour lui de manipuler le code pour le rendre ENREGISTRER « hôte + nom d'utilisateur + mot de passe » combinaisons sur la machine de laboratoire:
Après 6 heures, nous avons reçu 2.1 millions d'adresses IP à partir du serveur C2 à partir de laquelle 1,596,571 sont uniques. Bien sûr, nous ne sommes pas exécutons la phase de la force brute, le chercheur a déclaré dans son rapport.
Le chercheur a également pu géolocaliser et tracer toutes les adresses dans une carte du monde du monde en utilisant une pile ELK.
En conclusion, même si GoldBrute est pas impressionnant dans son mécanisme d'attaque, il est unique dans la façon dont il effectue l'opération bruteforce comme elle l'aide ne sont pas détectés.