GoldBrute è il nome di una nuova botnet che è attualmente la scansione del Internet e il tentativo di individuare le macchine Windows scarsamente protetti con RDP (Remote Desktop Protocol) collegamento abilitato.
La botnet è stato scoperto da ricercatore di sicurezza Renato Marinho di Morphus Labs che dice che è stato attaccato 1,596,571 endpoint RDP. Questo numero è destinato ad aumentare nei prossimi giorni.
GoldBrute attacchi botnet Explained
Attualmente, la botnet GoldBrute è bruteforcing un elenco di circa 1.5 milioni di server RDP esposti a Internet, dice il ricercatore. E 'importante ricordare che Shdoan elenca circa 2.4 milioni di server a vista, e GoldBrute sta implementando una propria lista. La botnet sta estendendo attivamente l'elenco come si continua a eseguire la scansione.
Il primo passo di un attacco GoldBrute è bruteforcing sistemi Windows e di ottenere l'accesso attraverso il PSR. Poi la botnet scarica un file .zip che contiene il codice dannoso GoldBrute, e inizia la scansione internet per nuovi endpoint RDP che non sono ancora inclusi nella propria lista.
Una volta che si scopre 80 nuovi endpoint RDP, la botnet sta inviando l'elenco di indirizzi IP al suo server di comando e controllo remoto. sistemi infetti poi ricevono un elenco di indirizzi IP pronto per bruteforcing. Ogni indirizzo IP ottiene solo una combinazione di nome utente e password per il bot di tentare l'autenticazione. C'è una combinazione diversa per ogni bot.
Una volta che tutte le condizioni sono soddisfatte sopra, il bot esegue l'attacco bruteforce e riporta i risultati al suo server di comando e controllo.
l'analisi di Renato Marinho del codice di GoldBrute ha reso possibile per lui a manipolare il codice per renderlo salvare tutti host” + nome utente + password”combinazioni sulla macchina del laboratorio:
Dopo 6 orario, abbiamo ricevuto 2.1 milioni di indirizzi IP dal server da cui C2 1,596,571 sono unici. Naturalmente, noi non eseguiamo la fase di forza bruta, il ricercatore ha detto nel suo rapporto.
Il ricercatore è stato anche in grado di Geolocalizza e tracciare tutti gli indirizzi in una mappa del mondo globale utilizzando uno stack ELK.
Insomma, anche se GoldBrute non è così impressionante nel suo meccanismo di attacco, è unico nel modo in cui esegue l'operazione bruteforce in quanto aiuta a rimanere inosservato.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: