بات‌نت GoldBrute بیش از ۱٫۵ میلیون سرور RDP ویندوز را هدف قرار می دهد

پژوهش‌گران امنیتی یک پویش بات‌نت پیش‌رفته کشف کرده‌اند که درحال‌حاضر بیش از ۱٫۵ میلیون سرور RDP ویندوز با دسترسی عمومی را هدف حملات جستجوی فراگیر (brute-forcing) قرار داده است.

این بات‌نت که GoldBrute نامیده می‌شود به‌گونه‌ای طراحی شده است که به تدریج با اضافه کردن هر سیستم آلوده‌ی جدید به شبکه‌ی خود، آن‌ها را مجبور می کند تا سرورهای RDP جدیدی پیدا کنند و هدف حملات جستجوی فراگیر قرار دهند.

مهاجمان این پویش به هر دستگاه آلوده دستور می‌دهند تا میلیون‌ها سرور را با یک مجموعه‌ی منحصر به فردی از ترکیب نام کاربری و گذرواژه هدف قرار دهند؛ بنابراین از آدرس‌های آی‌پی مختلفی به یک سرور هدف حمله می‌شود. نحوه‌ی عملکرد این پویش که توسط Renato Marinho از آزمایشگاه Morphus کشف شده، در مراحل زیر توضیح داده شده است:

مرحله ۱: پس از انجام موفقیت‌آمیز حمله‌ی جستجوی فراگیر در یک سرور RDP، مهاجم یک بدافزار بات‌نت مبتنی‌بر جاوا به نام GoldBrute را در دستگاه نصب می‌کند.

مرحله ۲: مهاجمان برای کنترل دستگاه‌های آلوده از یک سرور دستور و کنترل متمرکز ثابت استفاده می‌کنند که دستورات و داده‌ها را در یک ارتباط WebSocket رمزنگاری‌شده‌ی AES مبادله می‌کند.

مرحله ۳ و ۴: سپس هر دستگاه آلوده اولین دستور خود برای اسکن و گزارش فهرستی از ۸۰ سرور RDP جدید با دسترسی عمومی را دریافت می‌کند.

مرحله ۵ و ۶: سپس مهاجمان به‌عنوان دستور دوم به هر دستگاه آلوده یک مجموعه‌ی منحصر به فردی از ترکیب نام کاربری و گذرواژه را اختصاص می‌دهند و آن‌ها را مجبور می‌کنند تا این مجموعه را علیه فهرست اهداف RDP که سیستم آلوده به‌طور مداوم از سرور دستور و کنترل دریافت می‌کند، به‌کار گیرد.

مرحله ۷: در حملات موفقیت‌آمیز، دستگاه آلوده گواهی‌نامه‌های ورود را به سرور دستور و کنترل گزارش می‌دهد.

هنوز مشخص نیست که دقیقاً چه تعداد سرور RDP در معرض خطر قرار گرفته‌اند و در حملات جستجوی فراگیر علیه سرورهای RDP دیگر در اینترنت شرکت کرده‌اند. در زمان انتشار خبر حدود ۲٫۴ میلیون سرور RDP ویندوز در اینترنت قابل دسترسی بودند و احتمالاً بیش از نیمی از آن‌ها هدف حملات جستجوی فراگیر قرار گرفتند.

به‌تازگی دو آسیب‌پذیری امنیتی جدید در Remote Desktop Protocol (RDP) کشف شده است که یکی از آن‌ها توسط مایکروسافت وصله شد و دیگری هنوز وصله نشده است. آسیب‌پذیری وصله‌شده (CVE-2019-0708) BlueKeep نام دارد که به مهاجمان اجازه می‌دهد تا کنترل سرورهای RDP را به دست گیرند و درصورت بهره‌برداری موفقیت‌آمیز، می‌تواند بسیار مخرب باشد و به‌طور بالقوه ویران‌گرتر از حملات WannaCry و NotPetya در سال ۲۰۱۷ میلادی باشد. آسیب‌پذیری وصله‌نشده در ویندوز وجود دارد که به مهاجمان سمت کلاینت اجازه می‌دهد تا صفحه‌ی قفل را در نشست Remote Desktop دور بزند.

منبع

پست‌های مشابه

Leave a Comment