RDP服務之GoldBrute殭屍網路
| 最近的網路攻擊活動中,可能要數BlueKeep漏洞的討論熱度最高了。但近日研究人員警告稱,新發現的GoldBrute殭屍網路目前對Windows系統構成了不亞於BlueKeep帶來的威脅。 |
安全研究人員已經發現了一個持續複雜的殭屍網路活動,該活動目前在網際網路上暴力攻擊了超過150萬臺可公開訪問的Windows RDP(遠端桌面協議)伺服器。GoldBrute殭屍網路由一個C2(
命令
和控制)伺服器控制,與位於美國新澤西州的IP地址(104.156.249.231)相關聯。
這個被稱為GoldBrute的殭屍網路能夠通過不斷新增新的破解系統,從而進一步尋找新的可用RDP伺服器,然後破解它們。為了躲避安全工具和惡意軟體分析師的檢測,此惡意活動背後的威脅行為者
命令
其殭屍網路中每臺受感染的裝置使用唯一的使用者名稱和密碼組合,使得目標伺服器接收來自不同IP地址的暴力破解嘗試。
由網路安全機構Morphus Labs的首席研究員Renato Marinho發現的該惡意活動,其具體流程如下圖所示:
第一步:在成功暴力破解RDP伺服器後,攻擊者會在此裝置上安裝一個基於Java的GoldBrute殭屍網路惡意軟體。
第二步:為了控制受感染的裝置,攻擊者利用一個固定集中的C2(命令和控制)伺服器,通過AES加密的WebSocket連線交換命令和資料。
第三、四步:隨後,每臺受感染的裝置都會收到第一條任務指令,即掃描並報告至少80臺可公開訪問的新RDP伺服器列表,這些伺服器可以被暴力破解。
第五、六步:攻擊者為每臺受感染裝置分配一組特定的使用者名稱和密碼,作為其第二條任務指令,它們需要針對上述列表中的RDP伺服器進行破解嘗試。
第七步:在成功破解後,受感染裝置會自動向C2伺服器上傳登入憑據。
目前還不清楚到底有多少臺RDP伺服器已經遭到破壞,並參與了針對網際網路上其他RDP伺服器的暴力攻擊。
彼時,研究員通過快速Shodan搜尋顯示,大約240萬臺Windows RDP伺服器可以在網際網路上公開訪問,其中可能有一半以上的伺服器正在遭遇暴力破解攻擊。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2648049/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 什麼是殭屍網路
- Mirai殭屍網路重出江湖AI
- 怎樣有效的治理殭屍網路?
- 揭秘Neutrino殭屍網路生成器
- 殭屍網路XorDDoS的原理分析與清除
- 殭屍蜜網:首款具備誘捕及反探測能力的物聯網殭屍網路
- 物聯網裝置殭屍網路趨勢分析
- 超大規模的物聯網殭屍網路:Pink
- 瞄準Windows的新興殭屍網路:KrakenWindows
- DorkBot殭屍網路近期活躍情況報告
- 某殭屍網路被控端惡意樣本分析
- Mirai 殭屍網路出現了新的變種AI
- 濫用ThinkPHP漏洞的殭屍網路Hakai和YowaiPHPAI
- Gafgyt變種——Jaws殭屍網路的分析報告
- 斷劍重鑄?Kaiji殭屍網路正在重構AI
- Mirai 殭屍網路作者與 FBI 合作而避免刑期AI
- 殭屍網路 Emotet 能通過相鄰 Wi-Fi 網路傳播
- 帶你瞭解殭屍網路是怎樣組成的?
- 如何有效的治理殭屍網路以此來避免遭遇DDOS?
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 什麼是殭屍網路攻擊?安全專業人員指南
- Linux 效能優化之 CPU 篇 ----- 殭屍程式Linux優化
- fork和殭屍程式
- Chalubo殭屍網路來襲 IOT裝置或將受到DDoS攻擊
- 黑客輕鬆接管29個殭屍網路 只因運營商太菜黑客
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 盤點:網際網路上無處不在的"殭屍"
- Linux中殭屍程式是什麼意思?怎麼檢視殭屍程式?Linux
- 物聯網教程Linux系統程式設計——特殊程式之殭屍程式Linux程式設計
- 檢視 Linux 殭屍程式Linux
- 殭屍程式,孤兒程式
- Linux殭屍程式處置Linux
- 第一個能在裝置重啟後繼續存活的殭屍網路
- 瞭解殭屍網路的控制型別可以做最好的防護措施!型別
- 快速進擊的挖礦殭屍網路:單日攻擊破10萬次
- 【格物獵蹤】突發-新型Gafgyt殭屍網路變種感染Seowon路由器路由器
- Web Worker應用之CORS攻擊實現botnet殭屍網路節點攻擊WebCORS
- 孤兒程序和殭屍程序