Botnet "GoldBrute" greift RDP-Server ĂĽbers Internet an

Die Remote Desktop Services werden derzeit nicht nur ĂĽber SicherheitslĂĽcken attackiert: Ein neues Botnetz probiert es mit umfassenden Brute-Force-Angriffen.

In Pocket speichern vorlesen Druckansicht 90 Kommentare lesen
Botnet "GoldBrute" greift RDP-Server ĂĽbers Internet an

(Bild: The DigitalArtist)

Lesezeit: 3 Min.

Remote-Desktop-Protocol (RDP)-Server befinden sich derzeit im Fadenkreuz von Angreifern. Zu Attacken ĂĽber die SicherheitslĂĽcke BlueKeep (CVE-2019-0708) gesellt sich nun eine weitere Bedrohung in Gestalt eines Botnetzes, das automatisierte Brute-Force-Angriffe, also Angriffe mittels Ausprobieren von Zugangsdaten, durchfĂĽhrt.

Die Entdecker des Botnetzes – Sicherheitsforscher von Morphus Labs – berichten in einem Blogeintrag, dass das von ihnen auf den Namen "GoldBrute" getaufte Botnetz derzeit über 1,5 Millionen aus dem Internet erreichbare RDP-Server angreife. Allerdings führe GoldBrute die Brute-Force-Angriffe mit einer Liste angreifbarer Systeme aus, die es auf Basis von IP (und Port-)-Scans kontinuierlich erweitere.

Morphus Labs weist in diesem Zusammenhang darauf hin, dass eine Suchanfrage bei der Internet-of-Things-Suchmaschine Shodan nach "Remote Desktop" (also ĂĽber das Internet erreichbaren RDP-Servern) knapp 2,5 Millionen Ergebnisse zurĂĽckliefert.

Das Botnetz vergrößert sich, indem es den GoldBrute-Schadcode auf Servern installiert, bei denen der Brute-Force-Angriff gelingt. Bei wievielen Systemen dies bislang der Fall war – oder, anders formuliert: wie groß das Botnetz derzeit ist –, ist dem Blogeintrag nicht zu entnehmen. Auch der Zweck der Angriffe ist bislang unklar. Denkbar wäre, dass die erbeuteten Kombinationen aus IP-Adressen und RDP-Credentials von den Drahtziehern später in Untergrund-Foren verkauft werden sollen.

Nach erfolgreichem Einbruch lädt GoldBrute laut Morphus Labs ein ZIP-Archiv auf das kompromittierte System, um daraus eine .jar-Datei zu starten, die den Schadcode installiert. Deren Name lautet (wohl zu Tarnungszwecken) bitcoin.dll. Der so entstandene neue Zombie im Botnetz scannt zunächst nach weiteren RDP-Servern für die bereits erwähnte Liste. Hat er 80 IP-Adressen von Systemen gesammelt, schickt er diese an einen zentralen Command-and-Control (C2)-Server. Anschließend teilt dieser ihm eine Liste mit Angriffszielen zu.

(Bild: Morphus Labs)

Beim Brute-Force selbst fährt GoldBrute eine clevere Strategie, um der Entdeckung durch Protokollierung von RDP-Zugriffen und IP-basierten Zugriffsbeschränkungen zu entgehen. Jeder Bot im Netz führt nämlich nur einen Login-Versuch pro angegriffenem System durch. Die verwendeten Login-Daten sind indes nicht zufällig gewählt: Der C2-Server verschickt laut Morphus Labs feste “host + username + password”-Kombinationen. Wie sich die zusammensetzen, erläutert Morphus Labs allerdings nicht.

Im Blogeintrag werden die IP-Adressen 104[.]248[.]167[.]144 und 104[.]156[.]249[.]231 (Port 8333) zur Kommunikation mit dem C2-Server genannt.

Da es keine Hinweise darauf gibt, dass GoldBrute eine der aktuellen Sicherheitslücken in den Remote Desktop Services (RDS) von Windows ausnutzt, besteht der beste Schutz vor dem Botnetz (neben den üblichen Schutzmaßnahmen für RDP-Verbindungen) in der Wahl starker Benutzernamen und Passwörter.

Mehr zum Thema:

(ovw)