GoldBrute il nuovo nome che gli specialisti hanno dato alla nuova campagna di attacchi Brute-Force che sta coinvolgendo più di 1.5 milioni di server RDP sparsi per tutto il mondo e accessibili pubblicamente su Internet.
Come Avviene l’attacco i 7 passaggi:
Passaggio 1 – Dopo aver attaccato un server RDP con tecniche brute force, l’utente malintenzionato installa sulla macchina un malware botnet GoldBrute basato su JAVA.
Passaggio 2: per controllare le macchine infette, gli utenti malintenzionati utilizzano un server di comando e controllo fisso e centralizzato che scambia comandi e dati tramite una connessione WebSocket crittografata AES.
Passo 3 e 4 – Ogni macchina infetta riceve quindi la sua prima attività: esegue la scansione e registra un elenco di almeno 80 nuovi server RDP accessibili pubblicamente che possono essere forzati.
Passo 5 e 6 – Gli aggressori assegnano quindi a ciascuna macchina infetta un unico insieme di combinazione nome utente e password come seconda attività, costringendoli a compiere continui tentativi di accesso contro l’elenco di destinazioni RDP preche il sistema infetto riceve continuamente dal server C & C.
Passaggio 7: in caso di tentativi riusciti, la macchina infetta riporta le credenziali di accesso al server C & C.
Al momento non è chiaro esattamente quanti server RDP siano già stati compromessi e che partecipino agli attacchi brute-force contro altri server RDP su Internet.
Ecco una rappresentazione grafica dell’attacco GoldBrute-Force
Avevamo già parlato di una grave compromissione dei sistemi Windows per quanto riguarda i server RDP ma nonostante il colosso informatico avesse rilasciato le apposite patch di sicurezza per correggere l’errore, sembrerebbe che l’attacco stia ancora mietendo vittime
Scoperta Nuova Vulnerabilità Critica in Windows Remote Desktop
L’RDP è più comunemente conosciuto come Remote Desktop Protocol, un protocollo di rete proprietario sviluppato da Microsoft, che permette la connessione remota da un computer a un altro in maniera grafica. Il protocollo di default che utilizza la porta TCP e UDP 3389.Un attaccante grazie a questo bug potrebbe essere in grado di eseguire codici arbitrari sul sistema di destinazione o installare programmi; visualizzare, modificare o eliminare dati; creare nuovi account con diritti utente completi ovviamente con tutte le dirette conseguenze di sicurezza che tali azioni comportano.
Fonte: https://isc.sans.edu/forums/diary/GoldBrute+Botnet+Brute+Forcing+15+Million+RDP+Servers/25002/