Säkerhetsforskare har upptäckt en ny botnät som har varit angriper Windows-system som kör en Remote Desktop Protocol (RDP) – anslutning utsätts för Internet.
Upptäckt av Renato Marinho av Morphus Labs, forskaren säger botnät har sett att attackera 1,596,571 RDP endpoints, ett antal som kommer sannolikt att stiga under de kommande dagarna.
Heter GoldBrute, botnät fungerar på följande sätt:
- Botnät brute-krafter och få tillgång till en Windows-system via RDP.Laddar ner en ZIP-fil med GoldBrute skadlig kod.Skannar internet för nya RDP-slutpunkter som inte är en del av de viktigaste GoldBrute lista över RDP-slutpunkter.Efter det anser 80 nya RDP-endpoints, skickar lista över IP-adresser till dess fjärr-kommando-och-kontroll-server.Infekterade värden får en lista över IP-adresser till brute force. För varje IP-adress, det är bara ett användarnamn och ett lösenord bot måste försöka autentisera med. Varje GoldBrute bot blir ett annat användarnamn&lösenord combo.Bot utför brute-force-attack och rapporter leder tillbaka till C&C-server.
Bild: Renato Marinho; Morphus Labs, via SANS ISC
GoldBrute botnät som växer i storlek
Det är för närvarande oklart hur stor GoldBrute botnet verkligen är. Vad som är känt är att botnät s lista över “brutable” RUP-mål har ökat i storlek under de senaste dagarna som det sakta hittade nya RDP-slutpunkter att lansera attacker mot.
Denna tillväxt av GoldBrute master lista över RDP mål föreslår också en ökning av sin bas i infekterade produkter.
Dåliga nyheter för företag och användare som kör RDP-slutpunkter som exponeras på Internet är att botnet är också svårt att upptäcka och stoppa. Detta beror på att varje GoldBrute-infekterade systemet endast lanserar en att gissa lösenord försök per offer, förebyggande säkerhetssystem som ger brute-force protection från att sparka i.
BlueKeep överskuggas verklig fara
Upptäckten av GoldBrute botnät har också visat att det för närvarande brute-force attacker förbli den främsta hotet för RDP-system som utsätts online.
Trots all panik kring den annalkande hot av någon weaponizing den nya BlueKeep RDP sårbarhet, säkerhet forskare säger att de flesta RDP-attacker är idag klassiska “brute force” -försök.
Enligt statistik som publiceras idag av cyber hot intelligence företaget Dåliga Paket, RDP söker för BlueKeep sårbarhet endast utgör 3,4% av alla skadliga RDP-trafik sett under den senaste veckan.
Å andra sidan, RDP brute-force attacker och försök att utnyttja äldre RDP sårbarheter konto för 96,6 procent, vilket visar att den medvetna beslut som har fattats av flera bevakningsföretag och säkerhet forskare att avstå från att släppa en fungerande BlueKeep exploit har varit en bra en.
RDP Upptäckter – Senaste 7 Dagarna
96,6 procent som inte BlueKeep
3.4% #BlueKeep relaterade pic.twitter.com/gXBFqr9mlF— Dålig Paket Rapport (@bad_packets) 6 juni 2019
“Den GoldBrute botnät visar skojare fortfarande sysselsätter klassisk teknik av brute-tvinga i stället för att utnyttja BlueKeep att rikta RDP endpoints,” Troja Mursch, Dålig Paket grundare, berättade ZDNet idag.
Naturligtvis, bara för att hackare inte har listat ut ett sätt att utnyttja BlueKeep sårbarhet, det betyder inte att företag kan fördröja lapp.
Tvärtom, både Microsoft och NSA har utfärdat allvarliga varningar uppmanar användare att tillämpa säkerhetsuppdateringar så snart som möjligt.
Relaterade skadliga program och it-brottslighet täckning:
Hollywood lögn: Bank hacka ta månader, inte seconds440 miljoner Android-användare har installerat appar med en aggressiv reklam pluginGermany: Bakdörr finns i fyra smartphone-modeller, 20,000 användare infectedGandCrab ransomware drift säger att det är att stänga downI2P nätverk, som föreslås bli nästa gömma plats för kriminella operationsNew Iranska hacking verktyg som läckt ut på TelegramThe mörka webben är mindre, och kan vara mindre farligt, än vi tror TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter