新的僵尸网络出现，150多万台RDP服务器很危险

据外媒报道，一个新的僵尸网络被称为GoldBrute，扫描随机IP地址来检测暴露了RDP的Windows机器有150多万台RDP服务器易受攻击。

与其他僵尸网络一样，GoldBrute并没有使用弱口令，也没有利用数据泄露中的重复密码，而是使用自己的用户名和密码列表来发起蛮力攻击。

Morphus实验室的安全研究人员检测到正在进行的恶意攻击，该攻击由一台C&C服务器控制，僵尸网络之间的通信交流通过端口8333使用对称加密算法AES。

bot首先扫描互联网，寻找暴露了远程桌面协议服务的Windows主机。它一旦找到主机，就向C&C服务器报告，如果报告了80个主机，那么C&C服务器将分配一个目标来发动暴力攻击。

值得注意的是，每个bot只对目标尝试一个用户名和密码，以避免检测。这可能是一种安全工具的策略，因为每次身份验证尝试都来自不同的地址。

新的僵尸网络出现，150多万台RDP服务器很危险。一旦攻击成功，它将下载zip archive，解压缩后运行一个名为“bitcoin.dll.”的jar文件。然后，新的bot开始扫描互联网上开放的RDP服务器。如果它发现新的IP，那么它将继续报告给C&C服务器。一旦它达到80个RDP服务器，那么C&C服务器将为新bot分配一组目标。在暴力攻击阶段，bot将不断从C&C服务器获得用户名和密码组合。

研究人员在实验室环境下测试了bot，6小时后从C2服务器接收了210万个IP地址，其中有1596571个是唯一的。据悉，GoldBrute的目标是全球暴露在互联网上的RDP机器。

如果你确保已经修补了Bluekeep RCE的漏洞，现在是时候准备对付GoldBrute了，因为bot会继续扫描和发展。
如今我们的数据资产风险成因复杂交织；既有外部攻击，也有内部泄露；既有技术漏洞，也有管理缺陷；既有新技术新模式触发的新风险，也有传统安全问题的持续触发。行业专家提醒，提前部署信息安全工作，采取主动防御与被动防御相结合的方式抵御新型木马，避免不必要的损失。优炫软件聚焦数据库和数据安全，围绕数据资产为客户提供稳定、安全、行业领先的产品和解决方案，为客户提供优质安全、专业、可靠的信息安全保护服务。