Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス

各ボットでは、それぞれのターゲットに対してC&Cサーバから配布された1組の「ユーザー名」と「パスワード」しか試行しないのが特徴。各ボットごとに異なるユーザー名とパスワードを試行し、単独のボットではなくボットネット全体で「ブルートフォース攻撃」を展開していた。

試行ごとに攻撃元のIPアドレスを次々と変えることで、攻撃の検知や対策の回避を狙っているものと見られる。

研究者がボットのコードを分析、設定を変更することでボットネットが保有するホストおよび認証情報を取得。C&Cサーバーから210万のIPアドレスを受け取り、そのうち159万6571件は重複がないデータだったという。

IPアドレスより感染の分布状況を見ると、米国や中国、ヨーロッパを中心にグローバルに存在しており、日本国内にもすでに感染端末が存在すると見られる。

RDPが公開されている端末は、インターネット接続機器を検索できる「Shodan」に240万のリストが公開されている。こうしたリストのほか、自身の独自リストを用いて「GoldBrute」がさらなる感染の拡大を続けるおそれがあるとして、同研究者は警鐘を鳴らしている。

20190607_mo_002.jpg
リストにあった端末の分布状況(図:Morphus)

(Security NEXT - 2019/06/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「SQLインジェクション」を多数観測 - CMSのDB狙う攻撃も
WP向け動画埋め込みプラグインに脆弱性
WP向け出勤管理プラグインなどに複数脆弱性
「Windows 10」のリモート接続で画面認証回避のおそれ - 修正パッチは未提供
ワーム悪用懸念の脆弱性を含む端末が95万台弱
ウェブ訪問者とのチャットや追跡機能を提供するWP向けプラグインに脆弱性
「.htaccess」ファイル改ざんに注意 - CMSが標的に
オープングラフ対応を支援するWordPressプラグインに脆弱性
脆弱な「phpMyAdmin」の探索行為を多数観測 - IIJ
Windowsに深刻な脆弱性、ワームに悪用可能 - 「Windows XP」など旧OSにもパッチ提供