僵尸网络猛攻150万台RDP主机,全球皆有灾情,台湾遭骇主机也不少

发布于2019-06-12 06:50:14

导读: 图片来源: Morphus实验室远端桌面存取协定(RDP)的安全问题,近期屡屡受到瞩目,最主要的威胁,莫过于微软刚修补的BlueKeep漏洞(CVE-2019
导读: Morphus实验室发现的GoldBrute攻击流程里,首先透过暴力破解受害电脑远端桌面连线的密码,再植入恶意软件进行控制,然后从网络上找寻更多电脑,回报后受害电脑才向C&C中继站接收另一组IP地址名单,执行密码猜测工作。
图片来源: 

Morphus实验室

远端桌面存取协定(RDP)的安全问题,近期屡屡受到瞩目,最主要的威胁,莫过于微软刚修补的BlueKeep漏洞(CVE-2019-0708),不少资安业者实做出概念性验证(PoC)攻击程式,也传闻骇客开始锁定这个漏洞发动攻击,所幸目前为止尚未出现任何灾情。

不过,在各界聚焦在BlueKeep身上的同时,Morphus实验室资安研究员Renato Marinho指出,近期还有一起必须重视的GoldBrute攻击事件,僵尸网络锁定全球150万台远端桌面服务器,进行大规模暴力破解密码的行为。

Renato Marinho指出,根据Shodan物联网搜索引擎,全球共可找到240万台公开远端桌面服务器功能的电脑。GoldBrute借由自己汇整的服务器名单,在短短的6个小时之内,探测了超过150万台启用相关存取机制的电脑,换言之,GoldBrute扩散的速度算是相当快,而且Renato Marinho认为,这个攻击的范围还在急剧扩散当中。

由于Morphus实验室发现,这起攻击事件里所执行的恶意软件里,包含了名为GoldBrute的Java类别名称,因而以此来称呼这起事件。分析攻击行径,来源僵尸网络先会暴力破解受害远端桌面连线主机的账号和密码,借此取得Windows操作系统的存取权限,接着,会下载一个含有GoldBrute恶意软件的ZIP档案,植入受害主机中,并在互联网上找寻新的攻击目标。当GoldBrute找到80台启用远端桌面连线功能的电脑时,便会向C&C中继站回报这些电脑的IP地址。

不只如此,C&C中继站还会提供另一组新的IP地址名单,让受害电脑执行远端桌面连线的暴力密码破解行为。Renato Marinho表示,针对每一个IP地址,受害电脑里的GoldBrute机器人只会猜测一组账号名称和密码,避免遭到远端桌面服务器锁定而留下记录。最终,被GoldBrute控制的受害电脑会将猜测密码的结果,回报到C&C中继站。

在分析了GoldBrute的程式码后,Morphus实验室追踪了C&C服务器6个小时,总共出现了210万个IP地址,经过滤后不重复者有1,596,571个。虽然Morphus实验室并未进一步提供详细的受害攻击事件数据,但根据该公司制作的全球事件分布图,GoldBrute广泛在全球各地发动攻击,出现最多起事件的是中国东北,而台湾也出现不少灾情。此外,美国的东岸和西岸,以及欧洲的英国和法国,同样有许多受害者。

Morphus实验室揭露了有关GoldBrute攻击的分布情形,其中出现攻击次数较多者,大致出现在东亚(中国东北、上海、台湾等),以及西欧和北美等区域。

搭配帐密猜测攻击最为普遍

虽然攻击事件发生的原因,仍然有待进一步厘清,但是从这起事件中,我们还是可以看到,骇客锁定远端桌面连线存取机制,大肆发动攻击的现象。纵使攻击者已经在钻研如何运用BlueKeep漏洞,然而根据另一家资安公司Bad Packets的分析,目前发动攻击的手法还是以暴力破解密码为主,占了绝大多数(96.6%),BlueKeep仅有3.4%,相形之下,使用者避免采用容易被猜到的密码,还是能够防范时下大多数的远端桌面连线攻击行为。因此,良好的密码使用习惯,对于强化资讯安全仍然有所助益。

不过,这样的威胁态势之下,并非代表存在BlueKeep漏洞的电脑,就不需要安装修补程式。采用远端桌面连线的企业或是个人使用者,还是要严阵以待,防范这种未来可能会被广为运用的攻击管道。