goldbrute

Goldbrute: le botnet cible des millions de serveurs

Des chercheurs en sécurité ont découvert une campagne de botnet sophistiqué ciblant plus de 1,5 millions de serveurs Windows RDP accessible sur Internet. Nommé GoldBrute, le botnet a été conçu pour grandir en ajoutant chaque système piraté à son réseau. Il force ces nouveaux systèmes à chercher d’autres serveurs RDP et essayer de les attaquer en utilisant une technique de force brute.

Pour ne pas se faire détecter par les outils de sécurité et les analystes, les hackers derrière cette campagne ordonnent à chaque machine infecté de cibler des millions de serveurs avec une combinaison unique de nom d’utilisateur et de mots de passe pour qu’un serveur ciblé reçoivent des tentatives d’attaques venant d’adresses IP différentes.

La campagne, découverte par Renato Marinho de Morphus Labs, fonctionne comme l’image que vous pouvez voir ci-dessous:

windows server rdp brute force

Première Etape — Après avoir réussi l’attaque de force brute sur le serveur RDP, le hacker installe le malware Goldbrute (écrit en JAVA) sur la machine.

Seconde Etape — Pour contrôler les machines infectées, les hackers utilisent un serveur command-and-control centralisé qui échange des commandes et des données via une connexion WebSocket avec le chiffrement AES.

Etapes 3 et 4 — Chaque machine infectée reçoit ensuite sa première tâche qui est de scanner et ensuite de créer une liste de 80 serveurs RDP publiquement accessible.

Etape 5 et 6 — Les hackers donnent ensuite une combinaison unique de nom d’utilisateur et de mot de passe aux machines infectées et force ces machines à faire des tentatives sur la liste des serveurs RDP ciblés venant du serveur C & C.

Etape 7 — Sur les tentatives réussies, la machine infectée renvoie les informations de connexion au serveur C&C.

Pour le moment il est difficile de savoir combien de serveurs RDP ont été compromis.

goldbrute

Lors de l’écriture de cet article, Shodan indiquait que 2,4 millions de serveurs RDP Windows sont accessibles sur Internet. La moitié d’entre eux sont susceptibles de recevoir des tentatives d’attaques de force brute.

Laisser un commentaire