Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス

各ボットでは、それぞれのターゲットに対してC&Cサーバから配布された1組の「ユーザー名」と「パスワード」しか試行しないのが特徴。各ボットごとに異なるユーザー名とパスワードを試行し、単独のボットではなくボットネット全体で「ブルートフォース攻撃」を展開していた。

試行ごとに攻撃元のIPアドレスを次々と変えることで、攻撃の検知や対策の回避を狙っているものと見られる。

研究者がボットのコードを分析、設定を変更することでボットネットが保有するホストおよび認証情報を取得。C&Cサーバーから210万のIPアドレスを受け取り、そのうち159万6571件は重複がないデータだったという。

IPアドレスより感染の分布状況を見ると、米国や中国、ヨーロッパを中心にグローバルに存在しており、日本国内にもすでに感染端末が存在すると見られる。

RDPが公開されている端末は、インターネット接続機器を検索できる「Shodan」に240万のリストが公開されている。こうしたリストのほか、自身の独自リストを用いて「GoldBrute」がさらなる感染の拡大を続けるおそれがあるとして、同研究者は警鐘を鳴らしている。

20190607_mo_002.jpg
リストにあった端末の分布状況(図:Morphus)

(Security NEXT - 2019/06/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WP向け会員制サイト構築プラグインにSQLi脆弱性
国内ではブラウザ上でのマルウェア検知が7割超 - ESET
グラフや表を作成のWP向けプラグインに深刻な脆弱性
フォームカスタマイズ用WPプラグインに未修正の脆弱性
10月中旬よりWPプラグイン「File Manager」の探索行為が増加
WP用ユーザー管理プラグインに脆弱性 - サイト管理者権限奪われるおそれ
「WordPress 5.5.2」がリリース - セキュリティ関連で10件の修正
WP向けダウンロード監視プラグインに脆弱性
WP向けプラグイン「File Manager」脆弱性、国内でも悪用被害
脆弱なファイル管理用WPプラグインを狙う攻撃を国内で観測