GoldBrute Botnet è bruteforcing 1,596,571 RDP endpoint
CYBER NEWS

GoldBrute Botnet è bruteforcing 1,596,571 RDP endpoint

GoldBrute è il nome di una nuova botnet che è attualmente la scansione del Internet e il tentativo di individuare le macchine Windows scarsamente protetti con RDP (Remote Desktop Protocol) collegamento abilitato.

La botnet è stato scoperto da ricercatore di sicurezza Renato Marinho di Morphus Labs che dice che è stato attaccato 1,596,571 endpoint RDP. Questo numero è destinato ad aumentare nei prossimi giorni.



GoldBrute attacchi botnet Explained

Attualmente, la botnet GoldBrute è bruteforcing un elenco di circa 1.5 milioni di server RDP esposti a Internet, dice il ricercatore. E 'importante ricordare che Shdoan elenca circa 2.4 milioni di server a vista, e GoldBrute sta implementando una propria lista. La botnet sta estendendo attivamente l'elenco come si continua a eseguire la scansione.

Il primo passo di un attacco GoldBrute è bruteforcing sistemi Windows e di ottenere l'accesso attraverso il PSR. Poi la botnet scarica un file .zip che contiene il codice dannoso GoldBrute, e inizia la scansione internet per nuovi endpoint RDP che non sono ancora inclusi nella propria lista.

Una volta che si scopre 80 nuovi endpoint RDP, la botnet sta inviando l'elenco di indirizzi IP al suo server di comando e controllo remoto. sistemi infetti poi ricevono un elenco di indirizzi IP pronto per bruteforcing. Ogni indirizzo IP ottiene solo una combinazione di nome utente e password per il bot di tentare l'autenticazione. C'è una combinazione diversa per ogni bot.

Correlata: StealthWorker bruta forza gli attacchi di malware sia Linux che Windows.

Una volta che tutte le condizioni sono soddisfatte sopra, il bot esegue l'attacco bruteforce e riporta i risultati al suo server di comando e controllo.

l'analisi di Renato Marinho del codice di GoldBrute ha reso possibile per lui a manipolare il codice per renderlo salvare tutti host” + nome utente + password”combinazioni sulla macchina del laboratorio:

Dopo 6 orario, abbiamo ricevuto 2.1 milioni di indirizzi IP dal server da cui C2 1,596,571 sono unici. Naturalmente, noi non eseguiamo la fase di forza bruta, il ricercatore ha detto nel suo rapporto.

Il ricercatore è stato anche in grado di Geolocalizza e tracciare tutti gli indirizzi in una mappa del mondo globale utilizzando uno stack ELK.
Insomma, anche se GoldBrute non è così impressionante nel suo meccanismo di attacco, è unico nel modo in cui esegue l'operazione bruteforce in quanto aiuta a rimanere inosservato.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...