Новости

Новая бот-сеть GoldBrute атакует устройства с ОС Windows с разрешенным подключением по RDP

11.06.2019
Новая бот-сеть GoldBrute атакует устройства с ОС Windows с разрешенным подключением по RDP

6 июня 2019 года специалисты компании Morphus Labs сообщили об обнаружении новой бот-сети, получившей название GoldBrute. Она формируется из устройств под управлением операционной системы Windows с разрешенным подключением по протоколу удаленного рабочего стола (Remote Desktop Protocol, RDP). В настоящее время точно сказать о предназначении обнаруженной бот-сети нельзя.

Специалисты предполагают, что потенциальными участниками бот-сети могут стать свыше 1,5 млн уникальных устройств. По данным специальной поисковой системы, насчитывается более 2,4 млн подобных устройств.

Механизм атаки данной бот-сети реализован посредством одноименного инструмента — «GoldBrute», написанного на языке программирования Java. Бот-сеть использует следующий алгоритм для заражения новых устройств:

  1. Бот-сеть проводит атаку методом перебора пароля, пытаясь получить доступ к системе через RDP.
  2. При успешном получении несанкционированного доступа к атакуемому устройству загружается Java-архив, имеющий имя «bitcoin.dll», и среда выполнения Java файлов.
  3. Зараженное устройство начинает сканировать локальные компьютерные сети и сеть Интернет на предмет выявления IP-адресов устройств с разрешенным удаленным подключением по RDP.
  4. Если число доступных в сети хостов с разрешенным удаленным подключением по RDP достигает 80, то формируется список их IP-адресов, который передается на управляющий сервер бот-сети.
  5. Бот-сеть осуществляет атаку методом перебора пароля. Каждому боту управляющий сервер направляет уникальную пару «имя пользователя и пароль» для каждой цели. В случае если аутентификационные данные не подошли, операция повторяется. Исследователи полагают, что таким образом злоумышленники стремятся скрыть свою деятельность от обнаружения, поскольку каждая попытка аутентификации на атакуемом устройстве происходит с разных адресов. Результаты об успешности атаки бот отправляет на управляющий сервер.

Известно о следующих индикаторах компрометации:

  • контрольная сумма файла «bitcoin.dll» (ef6cac1e56ac78559e23716cbda7229b);
  • IP-адрес, распространяющий ВПО 104[.]248[.]167[.]144;
  • IP-адрес управляющего центра бот-сети 104[.]156[.]249[.]231:8333.

НКЦКИ акцентирует внимание на увеличении числа угроз безопасности информации, связанных с небезопасным использованием RDP в ОС Windows, и настоятельно рекомендует принять следующие меры:

  1. Ограничить средствами межсетевого экранирования доступ к рабочим станциям и серверам на базе ОС Windows, использующим RDP.
  2. Установить обновления безопасности ОС Windows из официальных источников.
  3. Выключить RDP до момента устранения уязвимости и использовать альтернативные способы доступа к ресурсам.
  4. Включить проверки подлинности на уровне сети (Network Level Authentication, NLA).
  5. Повысить стойкость аутентификационных данных учетных записей устройств с активным сервисом RDP.