Ένα botnet σαρώνει το διαδίκτυο προς αναζήτηση μη προστατευμένων μηχανών Windows με ενεργοποιημένη τη σύνδεση πρωτοκόλλου Remote Desktop Protocol (RDP).
Ονομάζεται GoldBrute και σαρώνει συστηματικά μια λίστα με πάνω από 1,5 εκατομμύριο συστήματα, προσπαθώντας να αποκτήσει πρόσβαση σε αυτά με επιθέσεις brute-force. Η σάρωση συνεχίζεται ακόμα και τώρα και το GoldBtute αυξάνει την λίστα των πιθανών στόχων του.
Μια αναζήτηση στο Shodan (μηχανή αναζήτησης συνδεδεμένων μηχανών στο διαδίκτυο) δείχνει ότι υπάρχουν περίπου 2,4 εκατομμύρια μηχανές που είναι προσβάσιμες στον ιστό με ενεργοποιημένο το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (Remote Desktop Protocol).
Ο Renato Marinho της Morphus Labs αναλύοντας την μέθοδο brute-force του GoldBrute, πιθανολογεί ότι οι hackers συλλέγουν δεδομένα για να πουλήσουν σε hacker φόρουμ ή σε αγορές στο dark web. Ο ερευνητής αναφέρει ότι τα στοιχεία κατευθύνονται στη διεύθυνση IP 104.156.249.231, η οποία δείχνει μια τοποθεσία στο New Jersey στις Ηνωμένες Πολιτείες.
Ο κώδικας του GoldBrute Botnet είναι αρκετά μεγάλος, περίπου 80MB, επειδή περιλαμβάνει το πλήρες Java Runtime. Τα συστήματα που έχουν προσβληθεί από το GoldBrute ξεκινάνε μία σάρωση του ιστού, για κεντρικούς υπολογιστές με εκτεθειμένους διακομιστές RDP και αναφέρουν τα αποτελέσματα στην IP 104.156.249.231, μέσω κρυπτογραφημένης σύνδεσης WebSocket στη θύρα 8333, που χρησιμοποιείται συνήθως για συνδέσεις Bitcoin.
Αφού στείλει τις διευθύνσεις για 80 θύματα, το bot στην συνέχεια προσπαθεί να κάνει brute-force σε αυτά. Είναι ενδιαφέρον ότι το bot προσπαθεί να ελέγξει μόνο ένα ζεύγος ονόματος χρήστη και κωδικού πρόσβασης, για κάθε στόχο.
Πιθανότατα, αυτή η τακτική προορίζεται για να κρύψει μια συντονισμένη Brute-force επίθεση, αφού το θύμα θα δει τις πολλαπλές προσπάθειες σύνδεσης.
Κατά την ανάλυση του botnet GoldBrute , ο ερευνητής μπόρεσε να τροποποιήσει τον κώδικα του κατά τρόπο που του επέτρεψε την αποθήκευση της λίστας με όλα τα “host + username + password” σε δικό του υπολογιστή.
“Μετά από 6 ώρες, λάβαμε 2,1 εκατομμύρια διευθύνσεις IP από το bot, από τις οποίες οι 1.596.571 είναι μοναδικές. Φυσικά, δεν εκτελέσαμε τη επόμενη φάση του brute-force”.
Τα συστήματα είναι κατανεμημένα σε όλο τον κόσμο όπως φαίνεται στον παρακάτω χάρτη.
Δεν υπάρχει τίποτα καινοτόμο στη μέθοδο επίθεσης, αλλά το GoldBrute ξεχωρίζει στον τρόπο με τον οποίο χειρίζεται το brute-force. Η μέθοδος βοηθά να κρατήσει ένα χαμηλό προφίλ, ώστε να μην γίνεται εύκολα αντιληπτό.
