Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス

各ボットでは、それぞれのターゲットに対してC&Cサーバから配布された1組の「ユーザー名」と「パスワード」しか試行しないのが特徴。各ボットごとに異なるユーザー名とパスワードを試行し、単独のボットではなくボットネット全体で「ブルートフォース攻撃」を展開していた。

試行ごとに攻撃元のIPアドレスを次々と変えることで、攻撃の検知や対策の回避を狙っているものと見られる。

研究者がボットのコードを分析、設定を変更することでボットネットが保有するホストおよび認証情報を取得。C&Cサーバーから210万のIPアドレスを受け取り、そのうち159万6571件は重複がないデータだったという。

IPアドレスより感染の分布状況を見ると、米国や中国、ヨーロッパを中心にグローバルに存在しており、日本国内にもすでに感染端末が存在すると見られる。

RDPが公開されている端末は、インターネット接続機器を検索できる「Shodan」に240万のリストが公開されている。こうしたリストのほか、自身の独自リストを用いて「GoldBrute」がさらなる感染の拡大を続けるおそれがあるとして、同研究者は警鐘を鳴らしている。

20190607_mo_002.jpg
リストにあった端末の分布状況(図:Morphus)

(Security NEXT - 2019/06/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

EGセキュア、クラウド型WAFサービスを提供 - CMS向け設定や国別フィルタも
「WordPress」のOAuth認証プラグイン2件に認証回避の脆弱性
2021年に観測が多かったマルウェア、大半が5年以上活動 - ランサム感染にも関与
WP向け人気フォームプラグインの関連プラグインにCSRFの脆弱性
国家関与の攻撃グループ、早期より「VMware Horizon」「UAG」の「Log4Shell」を標的に
WP向けプラグイン「Modern Events Calendar Lite」に脆弱性 - 修正されるもWordPress.orgでの提供は中止に
WordPress向け連絡先管理プラグインに深刻な脆弱性
WP向けアクセス解析プラグインにXSSの脆弱性
WordPress向けのテーマやプラグイン「Jupiter」に深刻な脆弱性
WordPressのデザインを制御する人気プラグインに深刻な脆弱性