RDP服務之GoldBrute殭屍網路

最近的網路攻擊活動中，可能要數BlueKeep漏洞的討論熱度最高了。但近日研究人員警告稱，新發現的GoldBrute殭屍網路目前對Windows系統構成了不亞於BlueKeep帶來的威脅。

安全研究人員已經發現了一個持續複雜的殭屍網路活動，該活動目前在網際網路上暴力攻擊了超過150萬臺可公開訪問的Windows RDP(遠端桌面協議)伺服器。GoldBrute殭屍網路由一個C2( 和控制)伺服器控制，與位於美國新澤西州的IP地址(104.156.249.231)相關聯。

這個被稱為GoldBrute的殭屍網路能夠透過不斷新增新的破解系統，從而進一步尋找新的可用RDP伺服器，然後破解它們。為了躲避安全工具和惡意軟體分析師的檢測，此惡意活動背後的威脅行為者 其殭屍網路中每臺受感染的裝置使用唯一的使用者名稱和密碼組合，使得目標伺服器接收來自不同IP地址的暴力破解嘗試。

由網路安全機構Morphus Labs的首席研究員Renato Marinho發現的該惡意活動，其具體流程如下圖所示：

第一步：在成功暴力破解RDP伺服器後，攻擊者會在此裝置上安裝一個基於Java的GoldBrute殭屍網路惡意軟體。
第二步：為了控制受感染的裝置，攻擊者利用一個固定集中的C2(命令和控制)伺服器，透過AES加密的WebSocket連線交換命令和資料。
第三、四步：隨後，每臺受感染的裝置都會收到第一條任務指令，即掃描並報告至少80臺可公開訪問的新RDP伺服器列表，這些伺服器可以被暴力破解。
第五、六步：攻擊者為每臺受感染裝置分配一組特定的使用者名稱和密碼，作為其第二條任務指令，它們需要針對上述列表中的RDP伺服器進行破解嘗試。
第七步：在成功破解後，受感染裝置會自動向C2伺服器上傳登入憑據。

目前還不清楚到底有多少臺RDP伺服器已經遭到破壞，並參與了針對網際網路上其他RDP伺服器的暴力攻擊。
彼時，研究員透過快速Shodan搜尋顯示，大約240萬臺Windows RDP伺服器可以在網際網路上公開訪問，其中可能有一半以上的伺服器正在遭遇暴力破解攻擊。