GoldBruteボットネットはBruteforcingです 1,596,571 RDPエンドポイント

GoldBruteは、現在インターネットをスキャンし、RDPを使用して保護が不十分なWindowsマシンを見つけようとしている新しいボットネットの名前です。 (リモートデスクトッププロトコル) 接続が有効.

ボットネットは、MorphusLabsのセキュリティ研究者RenatoMarinhoによって発見され、攻撃されているとのことです。 1,596,571 RDPエンドポイント. この数は、今後数日で増加すると予想されます.

GoldBruteボットネット攻撃の説明

現在, GoldBruteボットネットは約のリストをbruteforcingしています 1.5 インターネットに公開されている100万台のRDPサーバー, 研究者は言う. Shdoanが 2.4 公開された100万台のサーバー, そしてGoldBruteは独自のリストを展開しています. ボットネットはスキャンを継続しているため、リストを積極的に拡張しています.

GoldBrute攻撃の最初のステップは、Windowsシステムをブルートフォースし、RDPを介してアクセスすることです。. 次に、ボットネットは、悪意のあるGoldBruteコードを含む.zipファイルをダウンロードします。, インターネットのスキャンを開始して、まだ独自のリストに含まれていない新しいRDPエンドポイントを探します.

発見したら 80 新しいRDPエンドポイント, ボットネットは、IPアドレスのリストをリモートのコマンドアンドコントロールサーバーに送信しています. 感染したシステムは、ブルートフォーシングの準備ができているIPアドレスのリストを受け取ります. 各IPアドレスは、ボットが認証を試行するためのユーザー名とパスワードの組み合わせを1つだけ取得します. ボットごとに異なる組み合わせがあります.

上記のすべての条件が満たされたら, ボットはブルートフォース攻撃を実行し、その結果をコマンドアンドコントロールサーバーに報告します.

Renato MarinhoがGoldBruteのコードを分析したことで、彼はコードを操作してすべての「ホスト」を保存できるようになりました。 + ユーザー名 + ラボマシンでのパスワード」の組み合わせ:

後 6 時間, 受け取りました 2.1 C2サーバーからの100万のIPアドレス 1,596,571 ユニークです. もちろん, 強引なフェーズは実行しませんでした, 研究者 彼のレポートで言った.

研究者は、ELKスタックを使用して、グローバルな世界地図にすべての住所を地理的に配置してプロットすることもできました。.
結論は, GoldBruteの攻撃メカニズムはそれほど印象的ではありませんが, それはそれが検出されないままでいるのを助けるのでそれがブルートフォース操作を実行する方法でユニークです.