發(fā)現(xiàn)新僵尸網(wǎng)絡(luò) 150萬臺RDP服務(wù)器危險了
對于僵尸網(wǎng)絡(luò),想必各位都略有耳聞,攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),被感染的主機(jī)將通過一個控制信道接收攻擊者的指令,組成一個僵尸網(wǎng)絡(luò)。之所以用“僵尸網(wǎng)絡(luò)”這個名字,也是更形象地讓大家知道這類攻擊的特點(diǎn),即大量計算機(jī)在不知不覺中如同僵尸群一樣被人驅(qū)趕和指揮著,成為被人利用的一種工具。
近日,據(jù)外媒報道稱,一個被稱為GoldBrute的新僵尸網(wǎng)絡(luò),掃描隨機(jī)IP地址來檢測暴露了RDP的Windows機(jī)器,有150多萬臺RDP服務(wù)器易受攻擊。與其他僵尸網(wǎng)絡(luò)一樣,GoldBrute并沒有使用弱口令,也沒有利用數(shù)據(jù)泄露中的重復(fù)密碼,而是使用自己的用戶名和密碼列表來發(fā)起蠻力攻擊。
據(jù)了解,來自Morphus實(shí)驗室的安全研究人員檢測到正在進(jìn)行的惡意攻擊,該攻擊由一臺C&C服務(wù)器控制,而僵尸網(wǎng)絡(luò)之間的通信交流則通過端口8333使用對稱加密算法AES進(jìn)行。
至于具體的攻擊方式,首先bot通過掃描互聯(lián)網(wǎng)找到那些暴露了遠(yuǎn)程桌面協(xié)議服務(wù)的Windows主機(jī),一旦找到主機(jī),便會向C&C服務(wù)器報告,如果報告了80個主機(jī),那么C&C服務(wù)器將分配一個目標(biāo)來發(fā)動暴力攻擊。需要注意的是,每個bot只對目標(biāo)嘗試一個用戶名和密碼,以避免被檢測到,這可能是一種安全工具的策略,因為每次身份驗證嘗試都來自不同的地址。
一旦攻擊成功,它將下載zip archive,解壓縮后運(yùn)行一個名為“bitcoin.dll.”的jar文件;之后,新的bot開始掃描互聯(lián)網(wǎng)上開放的RDP服務(wù)器,一旦發(fā)現(xiàn)新的IP,它將繼續(xù)報告給C&C服務(wù)器,當(dāng)達(dá)到80個RDP服務(wù)器后,C&C服務(wù)器將為新bot分配一組目標(biāo)。在暴力攻擊階段,bot將不斷從C&C服務(wù)器獲得用戶名和密碼組合。
與此同時,安全研究人員在實(shí)驗室環(huán)境下測試了bot,6小時后從C2服務(wù)器接收到210萬個IP地址,其中有1596571個是唯一的。據(jù)了解,GoldBrute僵尸網(wǎng)絡(luò)的目標(biāo)是全球暴露在互聯(lián)網(wǎng)上的RDP機(jī)器。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市