Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス

各ボットでは、それぞれのターゲットに対してC&Cサーバから配布された1組の「ユーザー名」と「パスワード」しか試行しないのが特徴。各ボットごとに異なるユーザー名とパスワードを試行し、単独のボットではなくボットネット全体で「ブルートフォース攻撃」を展開していた。

試行ごとに攻撃元のIPアドレスを次々と変えることで、攻撃の検知や対策の回避を狙っているものと見られる。

研究者がボットのコードを分析、設定を変更することでボットネットが保有するホストおよび認証情報を取得。C&Cサーバーから210万のIPアドレスを受け取り、そのうち159万6571件は重複がないデータだったという。

IPアドレスより感染の分布状況を見ると、米国や中国、ヨーロッパを中心にグローバルに存在しており、日本国内にもすでに感染端末が存在すると見られる。

RDPが公開されている端末は、インターネット接続機器を検索できる「Shodan」に240万のリストが公開されている。こうしたリストのほか、自身の独自リストを用いて「GoldBrute」がさらなる感染の拡大を続けるおそれがあるとして、同研究者は警鐘を鳴らしている。

20190607_mo_002.jpg
リストにあった端末の分布状況(図:Morphus)

(Security NEXT - 2019/06/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

複数脆弱性を解消した「WordPress 5.2.3」がリリース
2018年度下半期の標的型攻撃相談は258件 - メール以外で侵入されたケースも
eコマースやRSSなどWordPress向けプラグイン2種に脆弱性
5月末にトネリングによる「RDP」接続が急増
リモートデスクトップ狙うアクセスが増加 - 広範囲のポートに探索行為
「SQLインジェクション」を多数観測 - CMSのDB狙う攻撃も
WP向け動画埋め込みプラグインに脆弱性
WP向け出勤管理プラグインなどに複数脆弱性
「Windows 10」のリモート接続で画面認証回避のおそれ - 修正パッチは未提供
ワーム悪用懸念の脆弱性を含む端末が95万台弱