圖片來源: 

Morphus實驗室

遠端桌面存取協定(RDP)的安全問題,近期屢屢受到矚目,最主要的威脅,莫過於微軟剛修補的BlueKeep漏洞(CVE-2019-0708),不少資安業者實做出概念性驗證(PoC)攻擊程式,也傳聞駭客開始鎖定這個漏洞發動攻擊,所幸目前為止尚未出現任何災情。

不過,在各界聚焦在BlueKeep身上的同時,Morphus實驗室資安研究員Renato Marinho指出,近期還有一起必須重視的GoldBrute攻擊事件,殭屍網路鎖定全球150萬臺遠端桌面伺服器,進行大規模暴力破解密碼的行為。

Renato Marinho指出,根據Shodan物聯網搜尋引擎,全球共可找到240萬臺公開遠端桌面伺服器功能的電腦。GoldBrute藉由自己彙整的伺服器名單,在短短的6個小時之內,探測了超過150萬臺啟用相關存取機制的電腦,換言之,GoldBrute擴散的速度算是相當快,而且Renato Marinho認為,這個攻擊的範圍還在急劇擴散當中。

由於Morphus實驗室發現,這起攻擊事件裡所執行的惡意軟體裡,包含了名為GoldBrute的Java類別名稱,因而以此來稱呼這起事件。分析攻擊行徑,來源殭屍網路先會暴力破解受害遠端桌面連線主機的帳號和密碼,藉此取得Windows作業系統的存取權限,接著,會下載一個含有GoldBrute惡意軟體的ZIP檔案,植入受害主機中,並在網際網路上找尋新的攻擊目標。當GoldBrute找到80臺啟用遠端桌面連線功能的電腦時,便會向C&C中繼站回報這些電腦的IP位址。

不只如此,C&C中繼站還會提供另一組新的IP位址名單,讓受害電腦執行遠端桌面連線的暴力密碼破解行為。Renato Marinho表示,針對每一個IP位址,受害電腦裡的GoldBrute機器人只會猜測一組帳號名稱和密碼,避免遭到遠端桌面伺服器鎖定而留下記錄。最終,被GoldBrute控制的受害電腦會將猜測密碼的結果,回報到C&C中繼站。

在分析了GoldBrute的程式碼後,Morphus實驗室追蹤了C&C伺服器6個小時,總共出現了210萬個IP位址,經過濾後不重複者有1,596,571個。雖然Morphus實驗室並未進一步提供詳細的受害攻擊事件數據,但根據該公司製作的全球事件分布圖,GoldBrute廣泛在全球各地發動攻擊,出現最多起事件的是中國東北,而臺灣也出現不少災情。此外,美國的東岸和西岸,以及歐洲的英國和法國,同樣有許多受害者。

Morphus實驗室揭露了有關GoldBrute攻擊的分布情形,其中出現攻擊次數較多者,大致出現在東亞(中國東北、上海、臺灣等),以及西歐和北美等區域。

搭配帳密猜測攻擊最為普遍

雖然攻擊事件發生的原因,仍然有待進一步釐清,但是從這起事件中,我們還是可以看到,駭客鎖定遠端桌面連線存取機制,大肆發動攻擊的現象。縱使攻擊者已經在鑽研如何運用BlueKeep漏洞,然而根據另一家資安公司Bad Packets的分析,目前發動攻擊的手法還是以暴力破解密碼為主,占了絕大多數(96.6%),BlueKeep僅有3.4%,相形之下,使用者避免採用容易被猜到的密碼,還是能夠防範時下大多數的遠端桌面連線攻擊行為。因此,良好的密碼使用習慣,對於強化資訊安全仍然有所助益。

不過,這樣的威脅態勢之下,並非代表存在BlueKeep漏洞的電腦,就不需要安裝修補程式。採用遠端桌面連線的企業或是個人使用者,還是要嚴陣以待,防範這種未來可能會被廣為運用的攻擊管道。


Advertisement

更多 iThome相關內容