GoldBruteは、現在インターネットをスキャンし、RDPを使用して保護が不十分なWindowsマシンを見つけようとしている新しいボットネットの名前です。 (リモートデスクトッププロトコル) 接続が有効.
ボットネットは、MorphusLabsのセキュリティ研究者RenatoMarinhoによって発見され、攻撃されているとのことです。 1,596,571 RDPエンドポイント. この数は、今後数日で増加すると予想されます.
GoldBruteボットネット攻撃の説明
現在, GoldBruteボットネットは約のリストをbruteforcingしています 1.5 インターネットに公開されている100万台のRDPサーバー, 研究者は言う. Shdoanが 2.4 公開された100万台のサーバー, そしてGoldBruteは独自のリストを展開しています. ボットネットはスキャンを継続しているため、リストを積極的に拡張しています.
GoldBrute攻撃の最初のステップは、Windowsシステムをブルートフォースし、RDPを介してアクセスすることです。. 次に、ボットネットは、悪意のあるGoldBruteコードを含む.zipファイルをダウンロードします。, インターネットのスキャンを開始して、まだ独自のリストに含まれていない新しいRDPエンドポイントを探します.
発見したら 80 新しいRDPエンドポイント, ボットネットは、IPアドレスのリストをリモートのコマンドアンドコントロールサーバーに送信しています. 感染したシステムは、ブルートフォーシングの準備ができているIPアドレスのリストを受け取ります. 各IPアドレスは、ボットが認証を試行するためのユーザー名とパスワードの組み合わせを1つだけ取得します. ボットごとに異なる組み合わせがあります.
上記のすべての条件が満たされたら, ボットはブルートフォース攻撃を実行し、その結果をコマンドアンドコントロールサーバーに報告します.
Renato MarinhoがGoldBruteのコードを分析したことで、彼はコードを操作してすべての「ホスト」を保存できるようになりました。 + ユーザー名 + ラボマシンでのパスワード」の組み合わせ:
後 6 時間, 受け取りました 2.1 C2サーバーからの100万のIPアドレス 1,596,571 ユニークです. もちろん, 強引なフェーズは実行しませんでした, 研究者 彼のレポートで言った.
研究者は、ELKスタックを使用して、グローバルな世界地図にすべての住所を地理的に配置してプロットすることもできました。.
結論は, GoldBruteの攻撃メカニズムはそれほど印象的ではありませんが, それはそれが検出されないままでいるのを助けるのでそれがブルートフォース操作を実行する方法でユニークです.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: