GoldBrute僵尸网络黑掉150万RDP服务器

研究人员发现一个正在不断扩展的僵尸网络——GoldBrute，该僵尸网络扫描网络以寻找启用了RDP连接且未进行合理保护的Windows机器，目前已感染了超过150万RDP服务器。

对Shodan搜索引擎的研究发现有超过240万机器是可以通过网络访问的，并且启用了RDP协议。

暴力破解伪装成单一攻击

Morphus实验室的Renato Marinho对GoldBrute的暴力破解组件进行了分析，该组件在持续扫描web并将潜在攻击目标加入到列表中。

Marinho称释放的信息并不能完全代表攻击RDP服务器的最终目的。因为没有驻留机制，可能是攻击者正在收集信息并准备以access-as-a-service或在黑市或暗网出售。

研究人员分析发现只使用了一个IP地址为104.156.]249.231的C2服务器，根据IP地址判断位于美国新泽西州。

攻击链

僵尸网络暴力破解RDP连接，并获取未合理保护的Windows系统访问权限。

下载含有GoldBrute Java和Java runtime代码的zip包。僵尸代码有80MB大小，因为其中包含有完整的Java Runtime环境。其中有一个Java类叫做GoldBrute，含有僵尸主机代码。

僵尸主机开始扫描网络上可以进行暴力破解的RDP服务器，并发送其IP地址到C2，C2会发回一些要进行暴力破解的IP地址列表。GoldBrute感染的系统首先扫描暴露了RDP服务器的web网络，然后通过加密的WebSocket连接的形式发送给C2服务器，使用的端口为8333，该端口主要被用于比特币连接。

在发送地址为80个受害者后，C2会选择一些目标并进行暴露破解。有趣的是，僵尸主机对每个目标只测试一个用户名和密码对。这可能也是为了隐藏暴力破解攻击，因为受害者可能会看到来自多个IP地址的登陆请求。

成功认证后会触发GodlBrute代码和Java runtime下载，都是打包在zip文件中的。解压后，会运行名为bitcoin.dll的jar文件。Dll扩展的目的是为了进行伪装以欺骗部分用户，但是研究人员认为比特币的部分要比jar扩展引发更多的关注。

扫描、暴力破解、感染、重复

GoldBrute僵尸主机获取不同的host + username + password的组合。僵尸主机也会马上工作并搜索暴露的RDP服务器。在暴露破解过程中，僵尸主机会获取不同的主机IP地址、用户名和密码的组合来进行尝试。在分析GoldBrute的过程中，研究人员能够修改代码来保存所有的host+username+password组合。

僵尸主机执行暴力破解攻击并将结果报告给C2服务器。6小时后，研究人员一共从C2服务器收到210万IP地址，其中1696571个IP地址是唯一的。研究人员并没有进行暴力破解的测试。

受感染的系统遍布全球，具体如下图所示：

最近，攻击者对RDP服务器的兴趣大大增加了。其中以BlueKeep为代表衍生出了许多RDP相关的漏洞和安全问题。

总的来说，GoldBrute僵尸网络的攻击方法并不新颖，但其运行暴力破解的方式比较独特，可以更加静默地执行，而且还没有加入驻留。

研究人员分析认为可暴力破解的RDP目标的数量还在不断增加，因此僵尸网络的规模也在不断扩大。