پژوهشگران امنیتی یک پویش باتنت پیشرفته کشف کردهاند که درحالحاضر بیش از ۱٫۵ میلیون سرور RDP ویندوز با دسترسی عمومی را هدف حملات جستجوی فراگیر (brute-forcing) قرار داده است.
این باتنت که GoldBrute نامیده میشود بهگونهای طراحی شده است که به تدریج با اضافه کردن هر سیستم آلودهی جدید به شبکهی خود، آنها را مجبور می کند تا سرورهای RDP جدیدی پیدا کنند و هدف حملات جستجوی فراگیر قرار دهند.
مهاجمان این پویش به هر دستگاه آلوده دستور میدهند تا میلیونها سرور را با یک مجموعهی منحصر به فردی از ترکیب نام کاربری و گذرواژه هدف قرار دهند؛ بنابراین از آدرسهای آیپی مختلفی به یک سرور هدف حمله میشود. نحوهی عملکرد این پویش که توسط Renato Marinho از آزمایشگاه Morphus کشف شده، در مراحل زیر توضیح داده شده است:
مرحله ۱: پس از انجام موفقیتآمیز حملهی جستجوی فراگیر در یک سرور RDP، مهاجم یک بدافزار باتنت مبتنیبر جاوا به نام GoldBrute را در دستگاه نصب میکند.
مرحله ۲: مهاجمان برای کنترل دستگاههای آلوده از یک سرور دستور و کنترل متمرکز ثابت استفاده میکنند که دستورات و دادهها را در یک ارتباط WebSocket رمزنگاریشدهی AES مبادله میکند.
مرحله ۳ و ۴: سپس هر دستگاه آلوده اولین دستور خود برای اسکن و گزارش فهرستی از ۸۰ سرور RDP جدید با دسترسی عمومی را دریافت میکند.
مرحله ۵ و ۶: سپس مهاجمان بهعنوان دستور دوم به هر دستگاه آلوده یک مجموعهی منحصر به فردی از ترکیب نام کاربری و گذرواژه را اختصاص میدهند و آنها را مجبور میکنند تا این مجموعه را علیه فهرست اهداف RDP که سیستم آلوده بهطور مداوم از سرور دستور و کنترل دریافت میکند، بهکار گیرد.
مرحله ۷: در حملات موفقیتآمیز، دستگاه آلوده گواهینامههای ورود را به سرور دستور و کنترل گزارش میدهد.
هنوز مشخص نیست که دقیقاً چه تعداد سرور RDP در معرض خطر قرار گرفتهاند و در حملات جستجوی فراگیر علیه سرورهای RDP دیگر در اینترنت شرکت کردهاند. در زمان انتشار خبر حدود ۲٫۴ میلیون سرور RDP ویندوز در اینترنت قابل دسترسی بودند و احتمالاً بیش از نیمی از آنها هدف حملات جستجوی فراگیر قرار گرفتند.
بهتازگی دو آسیبپذیری امنیتی جدید در Remote Desktop Protocol (RDP) کشف شده است که یکی از آنها توسط مایکروسافت وصله شد و دیگری هنوز وصله نشده است. آسیبپذیری وصلهشده (CVE-2019-0708) BlueKeep نام دارد که به مهاجمان اجازه میدهد تا کنترل سرورهای RDP را به دست گیرند و درصورت بهرهبرداری موفقیتآمیز، میتواند بسیار مخرب باشد و بهطور بالقوه ویرانگرتر از حملات WannaCry و NotPetya در سال ۲۰۱۷ میلادی باشد. آسیبپذیری وصلهنشده در ویندوز وجود دارد که به مهاجمان سمت کلاینت اجازه میدهد تا صفحهی قفل را در نشست Remote Desktop دور بزند.