RDP服务之GoldBrute僵尸网络

最近的网络攻击活动中，可能要数BlueKeep漏洞的讨论热度最高了。但近日研究人员警告称，新发现的GoldBrute僵尸网络目前对Windows系统构成了不亚于BlueKeep带来的威胁。

1. 概览

安全研究人员已经发现了一个持续复杂的僵尸网络活动，该活动目前在互联网上暴力攻击了超过150万台可公开访问的Windows RDP(远程桌面协议)服务器。GoldBrute僵尸网络由一个C2(命令和控制)服务器控制，与位于美国新泽西州的IP地址(104.156.249.231)相关联。

这个被称为GoldBrute的僵尸网络可以经过不断添加新的破解系统，从而进一步寻找新的可用RDP服务器，而后破解它们。为了躲避安全工具和恶意软件分析师的检测，此恶意活动背后的威胁行为者命令其僵尸网络中每台受感染的设备使用惟一的用户名和密码组合，使得目标服务器接收来自不一样IP地址的暴力破解尝试。

2. 攻击流程

由网络安全机构Morphus Labs的首席研究员Renato Marinho发现的该恶意活动，其具体流程以下图所示：

第一步：在成功暴力破解RDP服务器后，攻击者会在此设备上安装一个基于Java的GoldBrute僵尸网络恶意软件。
第二步：为了控制受感染的设备，攻击者利用一个固定集中的C2(命令和控制)服务器，经过AES加密的WebSocket链接交换命令和数据。
第3、四步：随后，每台受感染的设备都会收到第一条任务指令，即扫描并报告至少80台可公开访问的新RDP服务器列表，这些服务器能够被暴力破解。
第5、六步：攻击者为每台受感染设备分配一组特定的用户名和密码，做为其第二条任务指令，它们须要针对上述列表中的RDP服务器进行破解尝试。
第七步：在成功破解后，受感染设备会自动向C2服务器上传登陆凭据。

目前还不清楚到底有多少台RDP服务器已经遭到破坏，并参与了针对互联网上其余RDP服务器的暴力攻击。
彼时，研究员经过快速Shodan搜索显示，大约240万台Windows RDP服务器能够在互联网上公开访问，其中可能有一半以上的服务器正在遭遇暴力破解攻击。