Nová botnet kampaň mířící na RDP servery
10. 09. 2019
Kyberbezpečnostní specialisté objevili probíhající sofistikovanou botnet kampaň, která v současné době ohrožuje více než 1,5 milionu veřejně přístupných serverů Windows RDP (Remote Desktop Protocol) na internetu.
Botnet nazvaný GoldBrute byl navržen tak, aby postupně rostl přidáním každého nového prolomeného systému do jeho sítě a využil jej pro hledání a prolomení dalších dostupných RDP serverů. Útočníci, které se zatím nepodařilo identifikovat, přikazují každému napadenému počítači, aby útočil na řadu dalších serverů s jedinečnou kombinací uživatelského jména a hesla tak, aby cílový server byl pod Brute-Force útokem z různých IP adres.
Kampaň, kterou objevil Renato Marinho z Morphus Labs, a její modus operandi je vysvětlen v následujících krocích:
Krok 1 - Po úspěšném prolomení serveru RDP útočník nainstaluje do počítače malware GoldBrute napsaný v jazyce JAVA.
Krok 2 - K řízení infikovaných počítačů útočníci využívají pevný centralizovaný Command and Control server, který si vyměňuje příkazy a data prostřednictvím připojení WebSocket chráněného silnou šifrou AES.
Kroky 3 a 4 - Každý infikovaný počítač poté přijme svou první úlohu prohledat a ohlásit zpět seznam nejméně 80 veřejně přístupných nových RDP serverů, které mohou být následně napadeny.
Kroky 5 a 6 - Útočníci pak každému infikovanému počítači přiřadí jako druhou úlohu jedinečnou kombinaci uživatelského jména, hesla a seznamu cílů, na které infikovaný systém následně útočí.
Krok 7 - Po úspěšných pokusech infikovaný počítač nahlásí zpět přihlašovací údaje na server C&C.
V tuto chvíli není jasné, kolik serverů RDP již bylo prolomeno a účastní se útoků hrubou silou proti jiným serverům RDP na internetu. V době zveřejnění ukazoval vyhledávač Shodan, že na internetu se vyskytuje přibližně 2,4 milionu Windows RDP serverů a pravděpodobně více než polovina z nich může podlehnout Brute-Force útoku.
V tomto případě je pro nápravu nutné nemít RDP servery exponované do internetu a zajistit jejich hardening. Toho lze dosáhnout přesunutím serveru do demilitarizované zóny, případně nasazením bezpečnostní brány pro přístup k serveru.
Nenechávejte svou kybernetickou bezpečnost stranou a nechte si od Corpus Solutions poradit, jak se vypořádat s aktuálními i budoucími hrozbami.
Tip: všechny aktuality od Corpus Solutions můžete odebírat jako RSS kanál