GoldBrute ботнет

GoldBrute ботнет
goldbrute ботнет

GoldBrute ботнет търси незащитени RDP връзки.

В средата на май беше открита уязвимост в по-старите операционни системи на Windows.  Тази уязвимост към услугите за отдалечен работен плот, наречена BlueKeep, засяга над един милион устройства по целия свят.  Засега обаче, все още не е използван в истинска атака.  Група изследователи са открили заплаха, която потенциално може да засегне още повече компютърни системи.

GoldBrute: заплаха за RDP

Тази нова заплаха е с име GoldBrute. Представлява ботнет, който активно сканира интернет, търсейки машини работещи под Windows с активирана връзка за протокола за отдалечен работен плот (RDP).  Изследователите са открили, че зловредният софтуер е съставил списък от 1,5 милиона уникални системи с активиран RDP.

Как работи GoldBrute

За да получи достъп до системата, GoldBrute използва brute force или credential stuffing attacks .  Любопитна характеристика на този зловреден софтуер е, че всеки бот търси само една комбинация от потребителско име и парола при всеки опит за достъп с brute force.  Ботнетът най-вероятно използва тази тактика, за да се промъкне покрай най-често срещаните решения за сигурност, тъй като многобройните опити от един и същи IP адрес биха предизвикали подозрения.

Първото нещо, което системата, заразена с GoldBrute, прави, е да изтегли кода на ботнета. Това изтегляне е със сравнително голям обем- 80MB – и включва Java Runtime. Самият бот е реализиран в Java клас, наречен GoldBrute. След като е инсталиран на системата, ботът започва да сканира интернет за други компютърни системи, които може да атакува с тази тактика. Когато има 80 нови жертви, C&C сървърите ще определят набор от цели, на които да извършват атаки с груба сила.

Файловете, които ботнетът доставя, не разкриват крайната цел на атаката. Въпреки това, тъй като не съдържа механизъм за постоянство, изследователите смятат, че атакуващ може да го използва с цел да продава достъп до засегнатите системи на други киберпрестъпници.

Обхватът на проблема

Търсенето на Shodan, търсачката за свързаните устройства, разкрива, че има около 2,9 милиона машини, които могат да бъдат достъпени чрез интернет и които имат активиран RDP. В много компании служителите се свързват с компютрите си дистанционно с RDP, когато те не са в офисите, и понякога услугите на RDP може да не са защитени по подходящ начин. Като такъв, RDP става много привлекателна цел за атака от киберпрестъпниците. С тези данни можем да видим, че GoldBrute може да се превърне в мащабна заплаха, подобна на WannaCry.

Нещо повече, ако вземем предвид факта, че според PandaLabs, през 2018 г., 40% от големите и средни компании са били обект на атаки на RDP всеки месец, можем да видим, че дори преди появата на тази уязвимост, Remote Desktop протоколът представлява сериозна заплаха.

Ако нападателят успее да се промъкне на компютър, използвайки несигурен RDP, няма ограничения за това, което може да направи. Всъщност, той може да направи всичко, което и легитимният потребител може да прави: достъп до локални данни и файлове, инсталиране на програми, да се движи в корпоративната мрежа, или дори да използва процесора на компютъра за копаене на крипто валута.

Безопасно използване на RDP

В никакъв случай това не е единствената кибер заплаха, която използва RDP. През септември миналата година ФБР издаде предупреждение за опасността, която могат да представляват атаки чрез този протокол. Ето защо е добра идея да защитите фирмата си от възможните проблеми, които този протокол може да предизвика.

1.Наистина ли е необходимо RDP?

Атакуващият може да осъществи достъп до компютъра ви само ако RDP е активиран. Затова си заслужава да се запитаме дали наистина е необходимо да активирате този протокол във вашата организация.

2.Сигурни пароли

За да се защити крайната точка от атаки с груба сила, много е важно да използвате сигурни пароли и да не използвате стари пароли. Тази последна точка е особено важна за избягване на атаки  credential stuffing attacks – атаки, които се опитват да получат достъп до система, използвайки пароли, събрани при предишни пробиви.

3.Постоянен мониторинг

Често казваме, че няма такова нещо като 100% сигурност. Въпреки това, шансовете за претърпяване на кибератака са силно намалени, ако знаете точно какво се случва във вашата корпоративна мрежа по всяко време. Panda Adaptive Defense осигурява пълна видимост на всички активни процеси в реално време и действа срещу възможни заплахи дори преди да се случат. По този начин няма кибернетична заплаха, която да застраши компютрите в ИТ системата ви.

Засега тази ботнет не е използван в никакви известни кибератаки или в злонамерени кампании. Въпреки това може да е въпрос на време, преди да видим GoldBrute в действие. Затова е от особено значение вашата ИТ система да бъде надеждно защитена.

Източник: Panda Media Center

За Panda Security

Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).

Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.

За допълнителна информация:

Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08

 

Сподели в:

Категории:

Следвай ни в: