针对WindowsRDP系统暴力破解狂欢的GoldBrute僵尸网络

大家好，今日小科来聊聊一篇关于针对WindowsRDP系统暴力破解狂欢的GoldBrute僵尸网络的文章，现在让我们往下看看吧！

尽管最近人们关注了Windows Bluekeep的关键漏洞，但要强调的是，强奸仍然是一种危险的攻击手段。这是上个月在远程桌面服务(RDS)、远程代码执行(RCE)和RDP发现的一个漏洞，它可能允许攻击者在旧的Windows系统上运行任意恶意代码。

“微软已经修复了一个关键的远程代码执行漏洞，最近发布了远程桌面协议RDP，”他说。Morphus Labs首席研究官Renato Marinho表示，相比之下，暴力僵尸网络一直在互联网上搜索暴露的RDP服务器，并使用不适当的密码来构建黑客端点网络。

“尽管该报告对这一‘bluewear’漏洞的关注点是修复易受攻击的服务器，但在互联网上曝光RDP绝不是一个好主意。”僵尸网络一直在扫描这些服务器，并使用弱密码和重复使用的密码来访问它们。"

系统违反了黄金暴力将首先被指示下载80MB压缩文件包含恶意软件应急。然后，该程序会扫描随机的IP地址，以查找具有已发布的RDP服务器的潜在主机，这些主机没有列在已知端点的主GoldBrute目录中。

在找到80个新端点后，恶意软件会将此IP地址列表发送到单个远程命令和控制(CC)服务器。反过来，被感染的系统将收到一个暴力的IP地址列表。

至关重要的是，破解列出的每个IP地址只有一次尝试，并且只有一个用户名和密码组合。

根据Marinho的说法，这是一种可能的策略，即“在安全工具的雷达下飞行”，因为每次身份验证尝试都来自不同的地址。这意味着企业部署的一系列安全系统很难检测到GoldBrute的黑客攻击。

然后，成功的用户名和密码组合将被反馈给CC服务器，GoldBrute背后的攻击者将能够访问它们。

在分析了黄金暴力代码并试图理解其机制后，Marinho的团队获得了210万个IP地址，其中1596571个是唯一的。然后，他们在全球地图上绘制了这些地址，韩国显然是袭击的热点，其次是亚洲其他地区，以及美国、中欧和英国的一些地方。

与此同时，针对困扰传统Windows系统的Bluekeep威胁，国家网络安全中心(NCSC)再次建议企业尽快应用微软最新的安全补丁。

组织还应该关注面向外部的RDP服务、关键服务器(如域控制器和管理服务器)和非关键服务器(但支持RDP的服务器)。

这篇好文章是转载于：知行礼动