GoldBrute – ботнет, который ищет RDP-соединения

В середине мая в более ранних версиях операционной системы Windows была обнаружена серьезная уязвимость. Названная как BlueKeep, эта уязвимость, связанная со службами удаленного подключения к рабочему столу (RDP), затрагивает более миллиона устройств во всем мире. В настоящее время эта уязвимость пока еще не использовалась в реальной атаке. Но недавно группа исследователей обнаружила угрозу, которая потенциально может затронуть еще больше систем.

Эта новая угроза GoldBrute является ботнетом, который в настоящее время сканирует Интернет, осуществляя активный поиск машин с Windows, на которых включено соединение к удаленному рабочему столу (Remote Desktop Protocol, RDP). Исследователи обнаружили, что вредоносная программа уже собрала список из 1,5 миллионов уникальных систем с включенным RDP.

Чтобы получить доступ к системе, GoldBrute использует атаки типа «brute force» или credential stuffing. Любопытной особенностью этой вредоносной программы является то, что каждый бот использует только одну комбинацию логина и пароля при каждой попытке подбора. Ботнет, скорее всего, использует эту тактику, чтобы проскользнуть мимо наиболее распространенных решений безопасности, т.к. множество попыток  одного и того же IP-адреса однозначно вызывают подозрения.

Первое, что делает система, зараженная GoldBrute, - это загрузка кода бота. Его размер не маленький – порядка 80 МБ – и включает в себя Java Runtime. Сам бот реализован в Java-классе под названием GoldBrute. После попадания в систему, бот начинает сканировать Интернет в поиске других систем, которые он может атаковать с помощью данной тактики. Когда у него будет 80 новых жертв, серверы управления бота назначат набор целей, на которые будет осуществляться атака методом «brute force».

Файлы, которые доставляет ботнет, не раскрывают конечную цель атаки. Тем не менее, поскольку он не содержит механизма персистентности, исследователи полагают, что злоумышленник мог бы использовать его для продажи доступа к пострадавшим системам другим кибер-преступникам.

Поиск в поисковике Shodan для подключенных устройств, показывает, что существует примерно 2,9 миллиона машин, к которым можно получить доступ через Интернет или на которых включен RDP . Во многих компаниях сотрудники удаленно подключаются к своим компьютерам с помощью RDP, когда они находятся за пределами офиса, но при этом RDP-службы могут быть неправильно защищены. Таким образом, RDP становится очень привлекательным вектором атаки для кибер-преступников. Благодаря таким данным, мы можем видеть, что GoldBrute может стать широкомасштабной угрозой, подобной WannaCry.

Более того, если принять во внимание тот факт, что по данным антивирусной лаборатории PandaLabs, в 2018 году 40% крупных и средних компаний ежемесячно подвергались RDP-атакам, мы можем увидеть, что еще до появления данной угрозы Remote Desktop Protocol представлял собой серьезную угрозу.

Если кибер-преступнику удастся проникнуть на компьютер с помощью небезопасного RDP, то у него уже не будет ограничений тому, что он может сделать. Фактически, он сможет сделать все, что может сделать законный пользователь: получить доступ к локальным данным и файлам, установить программы, перемещаться по корпоративной сети или даже использовать ресурсы компьютера для майнинга криптовалют.

Но это далеко не единственная кибер-угроза, которая использует RDP. В сентябре прошлого года ФБР выпустило предупреждение об опасности, которую могут представлять атаки через данный протокол. Поэтому необходимо защищать свою компанию от возможных проблем, которые могут быть вызваны этим протоколом.

1. Действительно ли вам нужен RDP ? Это может показаться очевидным, но кибер-преступник может получить доступ к вашему компьютеру через RDP только в том случае, если он включен. Поэтому стоит задаться вопросом: действительно ли вам необходимо включать этот протокол в вашей организации.

2. Безопасные пароли. Чтобы защитить конечное устройство от атак типа «brute force», очень важно использовать безопасные пароли и не допускать повторного использования старых паролей. Последнее особенно важно, чтобы избежать атак методом «credential stuffing», когда злоумышленник пытается получить доступ к системе, используя пароли, собранные ранее при нарушении данных.

3. Постоянный мониторинг. Мы часто говорим, что нет такого понятия, как 100% безопасность. Однако шансы пострадать от кибер-атаки существенно снижаются, если вы в любой момент времени точно знаете,  что происходит в вашей корпоративной сети. Panda Adaptive Defense предоставляет полную видимость всех активных процессов в реальном времени и действует против возможных угроз еще до их возникновения. Таким образом, никакая кибер-угроза не сможет подвергнуть опасности компьютеры в вашей ИТ-системе.

На данный момент этот ботнет еще не использовался в каких-либо  атаках или вредоносных кампаниях. Тем не менее, это может быть только вопросом времени, когда мы сможем увидеть конечную цель GoldBrute. Поэтому жизненно важно, чтобы ваша ИТ-система была защищена.

Оригинал статьи: GoldBrute: the botnet searching for RDP connections

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru