Zdroj: Morphus Labs
Bezpečnostný výskumník Renato Marinho z Morphus Labs popisuje na svojom blogu nový botnet GoldBrute. Ako správne poznamenáva a ako to neustále spomíname v našich podcastoch, dávať Windows servery s RDP na internet nie je dobrý nápad. Nový botnet má zoznam 1,5 milióna RDP serverov a snaží sa hrubou silou hádať heslá do týchto systémov. Počet skenovaných IP adries postupne narastá.
Botnet je kontrolovaný jediným C&C (command and control) serverom s IP adresou (104[.]156[.]249[.]231). Komunikácia je zašifrovaná algoritmom AES a prebieha na porte 8333. Každý nakazený server skenuje náhodné IP adresy a hľadá obete s RDP. Nájdené IP adresy zašle na C&C server. Po nahlásení 80 nových IP adries, dostane bot od C&C servera IP adresy RDP serverov, na ktorých vyskúša jeden set mena a hesla. Toto je zrejme trik ako nevzbudiť podozrenie.
Ak sa bot dokáže prihlásiť na obeť, stiahne do systému 80MB zip súbor. Súbor obsahuje GoldBrute Java program a takisto Java runtime. Po rozbalení spustí jar súbor s názvom bitcoin.dll. Adresa C&C servera je natvrdo uvedená v kóde čo je jednoduchý, ale nie veľmi odolný spôsob voči eliminácii tohto servera.
Ak nás sledujete pravidelne tak viete, že v poslednej dobe sme písali a hovorili hlavne o chybe v RDP menom BlueKeep. Stále nevieme či táto chyba spôsobí problémy veľkého rozsahu. Ako je zrejmé z tohto prípadu, útočníci nečakajú a využívajú ten najjednoduchší spôsob ako ovládnuť RDP servery – hádanie prístupov hrubou silou. Prístupy do RDP serverov sa v digitálnom podsvetí bežne predávaju a nakupujú a botnet GoldBrute zrejme vznikol len na tento účel.
Obrázok: incident.sk
