如果您不想面對GoldBrute,請盡快更改您的弱服務器密碼
那些對過去幾年的在線威脅情況感興趣的人可能知道微軟的遠程桌面協議(或RDP)是什麼。例如,您已經看到它被用於多種大規模勒索軟件攻擊,並且您還聽說過最近發現的安全漏洞,該漏洞可能允許在支持RDP的系統上遠程執行代碼。 CVE-2019-0708,也稱為BlueKeep,非常危險,即使對於長期不支持的Windows版本,微軟也發布了補丁。
雖然這個補丁已經發布了近一個月了,但研究人員表示,仍然有超過一百萬的主機具有RDP並且可以被利用。在這一點上,沒有可公開訪問的代碼可以成功地破壞易受攻擊的系統,但專家們已經確認可以編寫它,並且他們認為犯罪分子趕上來只是時間問題。如果他們這樣做,後果可能比2017年大規模的WannaCry爆發更嚴重,這就是為什麼即使是NSA也建議系統管理員應用2019年5月的補丁星期二更新並保護他們的網絡。上週,Morphus Labs的研究人員發現安裝補丁不是系統管理員必須考慮的唯一問題。
Table of Contents
當你的密碼較弱時,誰需要復雜的漏洞利用?
正如我們已經提到的那樣,RDP近年來一直是多起網絡攻擊的核心,而最新的一個似乎是以GoldBrute殭屍網絡的形式出現的,與BlueKeep不同,它在野外被發現並且實際上是非常活躍。
研究人員設法得到了一個樣本,雖然他們無法說出GoldBrute到目前為止已經影響了多少個端點,但他們做了一些仔細的分析並發現總的來說,這些騙子想要破壞大約150萬個主機。 RDP已啟用。但是,沒有明智的安全漏洞或複雜的漏洞利用。顧名思義,GoldBrute使用舊的但非金的暴力攻擊破解了RDP端點。
GoldBrute可能不是最先進的威脅,但它幾乎不是腳本小子的玩物
目前,GoldBrute的功能似乎僅限於掃描和招募新機器人。一般來說,蠻力攻擊被認為是黑客武器庫中的一種較為武器。話雖如此,GoldBrute的運營商實施它的方式相當聰明。
成功猜出受害者的RDP登錄憑據後,GoldBrute會下載,提取並運行機器人代碼。第一步是掃描一些隨機IP,以便找到可能受到危害的更多RDP主機。機器人收集八十個潛在目標的列表,並將其發送回命令與控制(C&C)服務器。然後,C&C指示機器人試圖強制使用不同的IP集。
關於GoldBrute的有趣之處在於每個機器人每個目標只會嘗試一個用戶名和密碼組合。這意味著多次失敗的登錄嘗試來自許多不同的IP,因此不太可能觸發自動鎖定機製或引起懷疑。
是時候改變你的弱密碼了
濫用RDP的人來自網絡犯罪頻譜的各個方面。最終會出現涉及BlueKeep的野外攻擊的騙子很可能會非常複雜並且積極性很高. 與此同時,雖然他們不是腳本小子,但GoldBrute的運營商並不是世界上最先進的黑客集團。然而,保護您的PC和服務器免受它們的侵害同樣重要。
如果您不需要定期使用RDP,請禁用該服務並關閉與其關聯的所有網絡端口。如果確實需要,請使用強密碼保護它,並考慮添加多重身份驗證系統,以確保您的登錄憑據不是整個網絡的單點故障。
