Goldbrute: le botnet cible plus d’1,5 millions de serveurs

Des chercheurs en sécurité ont découvert une campagne de botnet, nommé Goldbrute, ciblant plus de 1,5 millions de serveurs Windows RDP accessible sur Internet. Le botnet est sophistiqué et a été conçu pour grandir en ajoutant chaque système piraté à son réseau. Il force ces nouveaux systèmes à chercher d’autres serveurs RDP et essayer de les attaquer en utilisant une technique de force brute.

Pour ne pas se faire détecter par les outils de sécurité et les analystes, les hackers derrière cette campagne ordonnent à chaque machine infecté de cibler des millions de serveurs avec une combinaison unique de nom d’utilisateur et de mots de passe pour qu’un serveur ciblé reçoivent des tentatives d’attaques venant d’adresses IP différentes.

Comment fonctionne Goldbrute?

La campagne, découverte par Renato Marinho de Morphus Labs, fonctionne comme l’image que vous pouvez voir ci-dessous:

windows server rdp brute force

Première Etape — Après avoir réussi l’attaque de force brute sur le serveur RDP, le hacker installe le malware Goldbrute (écrit en JAVA) sur la machine.

Seconde Etape — Pour contrôler les machines infectées, les hackers utilisent un serveur command-and-control centralisé qui échange des commandes et des données via une connexion WebSocket avec le chiffrement AES.

Etapes 3 et 4 — Chaque machine infectée reçoit ensuite sa première tâche qui est de scanner et ensuite de créer une liste de 80 serveurs RDP publiquement accessible.

Etape 5 et 6 — Les hackers donnent ensuite une combinaison unique de nom d’utilisateur et de mot de passe aux machines infectées et force ces machines à faire des tentatives sur la liste des serveurs RDP ciblés venant du serveur C & C.

Etape 7 — Sur les tentatives réussies, la machine infectée renvoie les informations de connexion au serveur C&C.

Pour le moment il est difficile de savoir combien de serveurs RDP ont été compromis.

goldbrute

Lors de l’écriture de cet article, Shodan indiquait que 2,4 millions de serveurs RDP Windows sont accessibles sur Internet. La moitié d’entre eux sont susceptibles de recevoir des tentatives d’attaques de force brute.

Cette nouvelle découverte a de quoi alimenter encore un peu plus la psychose autour de la vulnérabilité RDP BlueKeep qui pourrait causer des ravages encore pires que ceux perpétrés par WannaCry et NotPetya en 2017. Mais jusqu’à présent, les attaques par force brute demeurent, selon les experts, bien la principale menace qui pèse sur les serveurs RDP. Les analyses des menaces RDP réalisées au cours de la semaine dernière révèlent que 96,6 % des attaques détectées étaient par force brute, alors que seulement 3,4 % d’entre elles tentaient d’exploiter la faille BlueKeep. Ces chiffres pourraient toutefois changer du tout au tout si, comme le présage Microsoft, des kits d’exploit fonctionnels pour la faille BlueKeep venaient à être publiés sur Internet dans les semaines à venir.

Si cet article vous a plu, jetez un œil à notre précédent article concernant un bug de Windows RDP.

Poster un Commentaire

avatar
  S’abonner  
Notifier de