Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス

各ボットでは、それぞれのターゲットに対してC&Cサーバから配布された1組の「ユーザー名」と「パスワード」しか試行しないのが特徴。各ボットごとに異なるユーザー名とパスワードを試行し、単独のボットではなくボットネット全体で「ブルートフォース攻撃」を展開していた。

試行ごとに攻撃元のIPアドレスを次々と変えることで、攻撃の検知や対策の回避を狙っているものと見られる。

研究者がボットのコードを分析、設定を変更することでボットネットが保有するホストおよび認証情報を取得。C&Cサーバーから210万のIPアドレスを受け取り、そのうち159万6571件は重複がないデータだったという。

IPアドレスより感染の分布状況を見ると、米国や中国、ヨーロッパを中心にグローバルに存在しており、日本国内にもすでに感染端末が存在すると見られる。

RDPが公開されている端末は、インターネット接続機器を検索できる「Shodan」に240万のリストが公開されている。こうしたリストのほか、自身の独自リストを用いて「GoldBrute」がさらなる感染の拡大を続けるおそれがあるとして、同研究者は警鐘を鳴らしている。

20190607_mo_002.jpg
リストにあった端末の分布状況(図:Morphus)

(Security NEXT - 2019/06/07 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「WordPress」向けのマルウェア対策やWAFプラグインに脆弱性 - 公開中止に
「WordPress」向けファイル管理プラグインにパストラバーサルの脆弱性
バックアッププラグイン「WPvivid」の旧版に深刻な脆弱性
「WordPress」向けメンバー管理プラグインにSQLi脆弱性
「WP eCommerce plugin」に深刻な脆弱性 - パッチは未提供
「WordPress」における不用意な露出に注意 - 攻撃の糸口となることも
「WordPress」向け予約管理プラグインに脆弱性 - アップデートが公開
「WordPress 6.4.3」がリリース - 脆弱性2件に対応
Ivanti脆弱性、PoC公開で攻撃増 - 痕跡消去の可能性も踏まえ調査を