Chiến dịch botnet GoldBrute đang cố hack 1,5 triệu máy chủ RDP trên toàn thế giới

Các nhà nghiên cứu bảo mật mới phát hiện ra một chiến dịch botnet tinh vi đang diễn ra, sử dụng phương pháp brute-force nhắm vào hơn 1,5 triệu máy chủ Windows RDP có thể truy cập công khai trên Internet.

Được đặt tên là GoldBrute, sơ đồ botnet đã được thiết kế theo cách leo thang dần dần, thêm mọi hệ thống bị bẻ khóa mới vào mạng của nó, buộc chúng phải tìm thêm các máy chủ RDP mới có sẵn và sau đó tiến hành brute-force.

Để qua mắt công cụ bảo mật và các nhà phân tích phần mềm độc hại, những kẻ tấn công đã ra lệnh cho mỗi máy bị nhiễm nhắm mục tiêu đến hàng triệu máy chủ với bộ username và password duy nhất. Do đó, các máy chủ sẽ bị tấn công brute-force từ những địa chỉ IP khác nhau.

Chiến dịch này do Renato Marinho tại Morphus Labs phát hiện ra. Cách thức hoạt động được giải thích trong các bước sau:

Quy trình tấn công
Cách thức hoạt động của botnet GoldBrute

Bước 1 - Sau khi brute-force thành công một máy chủ RDP, kẻ tấn công cài đặt phần mềm độc hại GoldBrute (dựa trên JAVA) trên máy.

Bước 2 - Để kiểm soát các máy bị lây nhiễm, kẻ tấn công sử dụng máy chủ chỉ huy và kiểm soát tập trung, cố định để trao đổi các lệnh và dữ liệu qua kết nối WebSocket, được mã hóa AES.

Bước 3 và 4 - Mỗi máy bị nhiễm sau đó nhận nhiệm vụ đầu tiên là quét và báo cáo lại danh sách ít nhất 80 máy chủ RDP mới có thể truy cập công khai và có thể bị brute-force.

Bước 5 và 6 - Kẻ tấn công sau đó gán cho mỗi máy bị lây nhiễm một bộ username và password duy nhất để thực hiện nhiệm vụ thứ 2: dùng brute-force tấn công danh sách các mục tiêu RDP mà hệ thống bị nhiễm liên tục nhận được từ máy chủ C&C.

Bước 7 - Khi thử thành công, máy bị lây nhiễm báo cáo lại thông tin đăng nhập cho máy chủ C&C.

Hiện tại, không rõ chính xác có bao nhiêu máy chủ RDP đã bị xâm nhập và tham gia vào cuộc tấn công brute-force chống lại các máy chủ RDP khác trên Internet.

Theo The Hacker News, ở thời điểm viết bài, một tìm kiếm nhanh của Shodan cho thấy, khoảng 2,4 triệu máy chủ Windows RDP có thể được truy cập trên Internet và có lẽ hơn một nửa trong số này đang bị tấn công.

Máy chủ đang bị tấn công

Gần đây các nhà nghiên cứu bảo mật đã phát hiện 2 lỗ hổng bảo mật mới liên quan đến Remote Desktop Protocol (RDP), chỉ có 1 lỗ hổng trong số đó được Microsort vá, gọi là BlueKeep.

BlueKeep (CVE-2019-0708) cho phép kẻ tấn công từ xa kiểm soát các máy chủ RDP và nếu bị khai thác thành công, có thể gây ra sự tàn phá trên toàn thế giới, có khả năng tệ hơn nhiều so với những gì mà WannaCryNotPetya đã gây ra trong năm 2017.

Lỗ hổng chưa được vá nằm trong Windows có thể cho phép kẻ tấn công phía máy khách vượt qua màn hình khóa trên các phiên máy tính để bàn từ xa (RD).

Thứ Hai, 10/06/2019 06:25
56 👨 240