Mục lục bài viết || Contents of the article

    Mới đây, Các nhà nghiên cứu bảo mật mới phát hiện ra một chiến dịch Botnet tinh vi đang diễn ra, sử dụng phương pháp brute-force nhắm vào hơn 1,5 triệu máy chủ Windows RDP có thể truy cập công khai trên Internet.

    Chiến dịch tấn công này có tên là GoldBrute, sơ đồ botnet đã được thiết kế theo cách leo thang dần dần, thêm mọi hệ thống bị bẻ khóa mới vào mạng của nó, buộc chúng phải tìm thêm các máy chủ RDP mới có sẵn và sau đó tiến hành brute-force.

    Để qua mắt công cụ bảo mật và các nhà phân tích phần mềm độc hại, những kẻ tấn công đã ra lệnh cho mỗi máy bị nhiễm nhắm mục tiêu đến hàng triệu máy chủ với bộ username và password duy nhất. Do đó, các máy chủ sẽ bị tấn công brute-force từ những địa chỉ IP khác nhau.

    50000 máy chủ MS-SQL và PHPMyAdmin bị lây nhiễm mã độc Rootkit

    Chiến dịch này do Renato Marinho tại Morphus Labs phát hiện ra. Cách thức hoạt động được giải thích trong 7 bước sau:


    Bước 1 – Sau khi brute-force thành công một máy chủ RDP, kẻ tấn công cài đặt phần mềm độc hại GoldBrute (dựa trên JAVA) trên máy.

    Bước 2 – Để kiểm soát các máy bị lây nhiễm, kẻ tấn công sử dụng máy chủ chỉ huy và kiểm soát tập trung, cố định để trao đổi các lệnh và dữ liệu qua kết nối WebSocket, được mã hóa AES.

    Bước 3 và 4 – Mỗi máy bị nhiễm sau đó nhận nhiệm vụ đầu tiên là quét và báo cáo lại danh sách ít nhất 80 máy chủ RDP mới có thể truy cập công khai và có thể bị brute-force.

    Bước 5 và 6 – Kẻ tấn công sau đó gán cho mỗi máy bị lây nhiễm một bộ username và password duy nhất để thực hiện nhiệm vụ thứ 2: dùng brute-force tấn công danh sách các mục tiêu RDP mà hệ thống bị nhiễm liên tục nhận được từ máy chủ C&C.

    Bước 7 – Khi thử thành công, máy bị lây nhiễm báo cáo lại thông tin đăng nhập cho máy chủ C&C.

    Hiện tại, không rõ chính xác có bao nhiêu máy chủ RDP đã bị xâm nhập và tham gia vào cuộc tấn công brute-force chống lại các máy chủ RDP khác trên Internet.

    Theo The Hacker News, một tìm kiếm nhanh của Shodan cho thấy, khoảng 2,4 triệu máy chủ Windows RDP có thể được truy cập trên Internet và có lẽ hơn một nửa trong số này đang bị tấn công.

    Gần đây các nhà nghiên cứu bảo mật đã phát hiện 2 lỗ hổng bảo mật mới liên quan đến Remote Desktop Protocol (RDP), chỉ có 1 lỗ hổng trong số đó được Microsort vá, gọi là BlueKeep. XEM TẠI: Windows gặp lỗi lớn, Microsoft khẩn thiết kêu gọi người dùng cập nhật

    BlueKeep (CVE-2019-0708) cho phép kẻ tấn công từ xa kiểm soát các máy chủ RDP và nếu bị khai thác thành công, có thể gây ra sự tàn phá trên toàn thế giới, có khả năng tệ hơn nhiều so với những gì mà WannaCry và NotPetya đã gây ra trong năm 2017.

    Lỗ hổng chưa được vá nằm trong Windows có thể cho phép kẻ tấn công phía máy khách vượt qua màn hình khóa trên các phiên máy tính để bàn từ xa (RD).

    Nguồn: THN

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...