对于僵尸网络,您一定听说过攻击者通过不同的渠道分发僵尸病毒,感染网络上的大量主机,并且受感染的主机通过控制渠道接收攻击者的指令以形成僵尸网络。我们之所以使用“僵尸网络”这个名称,是为了更生动地理解这种攻击的特点,即大量计算机将像僵尸一样被无意识地控制和指挥,并成为人们使用的工具。
最近,国外媒体报道称,一个名为Gold Broot的新僵尸网络随机扫描了IP地址,并检测到暴露RDP的Windows计算机。超过150万台RDP服务器易受攻击。与其他僵尸网络一样,GoldBrite在共享数据时不使用弱密码或重复密码,而是使用自己的用户名和密码列表来触发暴力攻击。
众所周知,Moffers实验室的安全研究人员发现了由C&C服务器控制的持续恶意攻击。僵尸网络之间的通信通过端口8333使用AES对称加密算法进行。
对于特定的攻击模式,机器人首先扫描Internet以查找提供远程桌面协议服务的Windows主机。找到主机后,登录到C&C服务器。如果报告80台主机,目标将被指定在C&C服务器上进行暴力攻击。值得注意的是,为了防止检测到所有机器人,只尝试目标的用户名和密码。这可能是一种安全工具策略,因为每次身份验证尝试都来自不同的地址。
攻击成功后,下载ZIP压缩文件,解压缩,然后运行名为“bitcoin.dll”的JAR文件。之后,新机器人将开始扫描互联网上打开的RDP服务器。如果找到新IP,请继续登录C&C服务器。当达到80台RDP服务器时,C&C服务器会将目标分配给新的bot。在暴力攻击阶段,robot会不断收到C&C server上的用户名和密码组合。
与此同时,安全研究人员在实验室环境中测试了机器人。6小时后,C2服务器收到210万个IP地址,其中1596571个是唯一的。据报道,Kinblut僵尸网络的目标是全球互联网上的RDP设备。
