Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'ANALISI

GoldBrute, la botnet che sta attaccando 1,5 milioni di server RDP in tutto il mondo: dettagli e consigli per difendersi

Si chiama GoldBrute la nuova botnet che sta prendendo di mira i server RDP (Remote Desktop Protocol) in tutto il mondo per trasformarli in altri bot ai comandi dei criminal hacker. Ecco tutti i dettagli tecnici e i consigli per mitigare i rischi di un possibile attacco

11 Giu 2019

GoldBrute è una nuova botnet che, secondo i ricercatori di sicurezza dei laboratori Morphus che ne hanno individuato l’attività malevola, negli ultimi giorni sta prendendo di mira oltre 1,5 milioni di server RDP (Remote Desktop Protocol) accessibili via Internet.

In particolare, l’azione malevola della botnet prevede una scansione di indirizzi IP casuali per rilevare le macchine con sistema operativo Windows installato su cui è attivo il servizio di Remote Desktop Protocol.

Inoltre, il nome GoldBrute deriva dal fatto che la botnet utilizza un proprio dizionario contenente un elenco di credenziali composte da nome utente e password per cercare di bucare il server RDP mediante un attacco di tipo brute force.

Secondo i ricercatori dei Morphus Labs, inoltre, la botnet GoldBrute sarebbe controllata da un unico server C&C (Command & Control) accessibile all’indirizzo 104[.]156[.]249[.]231 e le comunicazioni tra questo e i singoli bot avvengono tramite connessioni WebSocket crittografate con l’algoritmo AES sulla porta 8333.

GoldBrute: la botnet invisibile

La botnet GoldBrute sfrutta, inoltre, una particolare tecnica di attacco per cercare di nascondere le sue attività ai radar dei vari sistemi di sicurezza.

Ogni volta che un bot individua un host esposto su Internet, lo segnala immediatamente al server C&C. Appena ne trova 80, il server assegna al bot un set di bersagli da colpire mediante un attacco brute force.

È interessante notare che ogni bot proverà una sola combinazione di nome utente e password contro il bersaglio: si tratta di una strategia utile ad evitare rilevamenti di accessi non autorizzati da parte dei sistemi di sicurezza installati sulla macchina target. Ogni singolo tentativo dei vari bot proviene ovviamente da indirizzi diversi e verrebbe quindi scambiato per un semplice errore nel tentativo di accesso da parte di un utente remoto e non per una manovra offensiva.

I dettagli tecnici della botnet GoldBrute

Una volta che l’attacco ha avuto successo, sul server RDP “bucato” viene scaricato un pacchetto ZIP da circa 80 MB contenente il Java Runtime e la classe Java per l’esecuzione di un nuovo bot GoldBrute. Dopo aver decompresso il file ZIP, viene immediatamente eseguito un file .jar chiamato bitcoin.dll.

Così facendo, il nuovo bot viene attivato e subito inizia la sua azione di scansione di Indirizzi IP su Internet alla ricerca di altri possibili server RDP da hackerare.

Per comprendere la pericolosità della botnet GoldBrute, i ricercatori hanno simulato il funzionamento di un bot in ambienti di laboratorio. I risultati pubblicati sono stati a dir poco allarmanti: “dopo 6 ore abbiamo ricevuto 2,1 milioni di indirizzi IP dal server C2, di cui 1.596.571 unici. Naturalmente, non abbiamo eseguito la fase di brute force”.

Ecco come funziona la botnet GoldBrute.

I consigli per proteggersi

La botnet GoldBrute rappresenta dunque una nuova minaccia che prende di mira i server Remote Desktop Protocol così come già successo con la vulnerabilità wormable BlueKeep già patchata da Microsoft o come l’altra zero-day per la quale non è stata ancora rilasciato (e forse non lo sarà mai) un aggiornamento di sicurezza e che potrebbe consentire ad un attaccante remoto di hackerare il sistema di accesso a doppia autenticazione su sistemi Windows 10 1803 e Windows Server 2019.

Una minaccia, dunque, da non sottovalutare perché il protocollo RDP consente di accedere da remoto ad una macchina per averne il controllo completo: non a caso è utilizzato dagli amministratori di rete e di sistema e per l’assistenza remota.

Un aggressore in grado di hackerare un server RDP potrebbe quindi sfruttare questa opportunità per diffondere malware, rubare dati riservati o, come nel caso della botnet GoldBrute, trasformare le macchine infette in ulteriori bot da usare per lanciare massicci attacchi di tipo DDoS.

Per proteggersi dalla botnet GoldBrute, quindi, è importante installare innanzitutto la patch CVE-2019-0708 già rilasciata da Microsoft per correggere la vulnerabilità BlueKeep.

È utile, inoltre, abilitare l’autenticazione a livello di rete per impedire a qualsiasi aggressore non autenticato di sfruttare questa nuova vulnerabilità wormable.

È buona norma, infine, disabilitare eventuali server RDP non utilizzati per non esporli inutilmente su Internet.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4