624979
6 июня 2019 года специалисты компании Morphus Labs сообщили об обнаружении новой бот-сети, получившей название GoldBrute. Она формируется из устройств под управлением операционной системы Windows с разрешенным подключением по протоколу удаленного рабочего стола (Remote Desktop Protocol, RDP). В настоящее время точно сказать о предназначении обнаруженной бот-сети нельзя.
Специалисты предполагают, что потенциальными участниками бот-сети могут стать свыше 1,5 млн уникальных устройств. По данным специальной поисковой системы, насчитывается более 2,4 млн подобных устройств.
Механизм атаки данной бот-сети реализован посредством одноименного инструмента — «GoldBrute», написанного на языке программирования Java. Бот-сеть использует следующий алгоритм для заражения новых устройств:
- Бот-сеть проводит атаку методом перебора пароля, пытаясь получить доступ к системе через RDP.
- При успешном получении несанкционированного доступа к атакуемому устройству загружается Java-архив, имеющий имя «bitcoin.dll», и среда выполнения Java файлов.
- Зараженное устройство начинает сканировать локальные компьютерные сети и сеть Интернет на предмет выявления IP-адресов устройств с разрешенным удаленным подключением по RDP.
- Если число доступных в сети хостов с разрешенным удаленным подключением по RDP достигает 80, то формируется список их IP-адресов, который передается на управляющий сервер бот-сети.
- Бот-сеть осуществляет атаку методом перебора пароля. Каждому боту управляющий сервер направляет уникальную пару «имя пользователя и пароль» для каждой цели. В случае если аутентификационные данные не подошли, операция повторяется. Исследователи полагают, что таким образом злоумышленники стремятся скрыть свою деятельность от обнаружения, поскольку каждая попытка аутентификации на атакуемом устройстве происходит с разных адресов. Результаты об успешности атаки бот отправляет на управляющий сервер.
- контрольная сумма файла «bitcoin.dll» (ef6cac1e56ac78559e23716cbda7229b);
- IP-адрес, распространяющий ВПО 104[.]248[.]167[.]144;
- IP-адрес управляющего центра бот-сети 104[.]156[.]249[.]231:8333.
- Ограничить средствами межсетевого экранирования доступ к рабочим станциям и серверам на базе ОС Windows, использующим RDP.
- Установить обновления безопасности ОС Windows из официальных источников.
- Выключить RDP до момента устранения уязвимости и использовать альтернативные способы доступа к ресурсам.
- Включить проверки подлинности на уровне сети (Network Level Authentication, NLA).
- Повысить стойкость аутентификационных данных учетных записей устройств с активным сервисом RDP.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru