如果您不想面对GoldBrute,请尽快更改您的弱服务器密码
那些对过去几年的在线威胁情况感兴趣的人可能知道微软的远程桌面协议(或RDP)是什么。例如,您已经看到它被用于多种大规模勒索软件攻击,并且您还听说过最近发现的安全漏洞,该漏洞可能允许在支持RDP的系统上远程执行代码。 CVE-2019-0708,也称为BlueKeep,非常危险,即使对于长期不支持的Windows版本,微软也发布了补丁。
虽然这个补丁已经发布了近一个月了,但研究人员表示,仍然有超过一百万的主机具有RDP并且可以被利用。在这一点上,没有可公开访问的代码可以成功地破坏易受攻击的系统,但专家们已经确认可以编写它,并且他们认为犯罪分子赶上来只是时间问题。如果他们这样做,后果可能比2017年大规模的WannaCry爆发更严重,这就是为什么即使是NSA也建议系统管理员应用2019年5月的补丁星期二更新并保护他们的网络。上周,Morphus Labs的研究人员发现安装补丁不是系统管理员必须考虑的唯一问题。
Table of Contents
当你的密码较弱时,谁需要复杂的漏洞利用?
正如我们已经提到的那样,RDP近年来一直是多起网络攻击的核心,而最新的一个似乎是以GoldBrute僵尸网络的形式出现的,与BlueKeep不同,它在野外被发现并且实际上是非常活跃。
研究人员设法得到了一个样本,虽然他们无法说出GoldBrute到目前为止已经影响了多少个端点,但他们做了一些仔细的分析并发现总的来说,这些骗子想要破坏大约150万个主机。 RDP已启用。但是,没有明智的安全漏洞或复杂的漏洞利用。顾名思义,GoldBrute使用旧的但非金的暴力攻击破解了RDP端点。
GoldBrute可能不是最先进的威胁,但它几乎不是脚本小子的玩物
目前,GoldBrute的功能似乎仅限于扫描和招募新机器人。一般来说,蛮力攻击被认为是黑客武器库中的一种较为武器。话虽如此,GoldBrute的运营商实施它的方式相当聪明。
成功猜出受害者的RDP登录凭据后,GoldBrute会下载,提取并运行机器人代码。第一步是扫描一些随机IP,以便找到可能受到危害的更多RDP主机。机器人收集八十个潜在目标的列表,并将其发送回命令与控制(C&C)服务器。然后,C&C指示机器人试图强制使用不同的IP集。
关于GoldBrute的有趣之处在于每个机器人每个目标只会尝试一个用户名和密码组合。这意味着多次失败的登录尝试来自许多不同的IP,因此不太可能触发自动锁定机制或引起怀疑。
是时候改变你的弱密码了
滥用RDP的人来自网络犯罪频谱的各个方面。最终会出现涉及BlueKeep的野外攻击的骗子很可能会非常复杂并且积极性很高. 与此同时,虽然他们不是脚本小子,但GoldBrute的运营商并不是世界上最先进的黑客集团。然而,保护您的PC和服务器免受它们的侵害同样重要。
如果您不需要定期使用RDP,请禁用该服务并关闭与其关联的所有网络端口。如果确实需要,请使用强密码保护它,并考虑添加多重身份验证系统,以确保您的登录凭据不是整个网络的单点故障。
