เตือน ‘GoldBrute’ Botnet โจมตี Windows RDP กว่า 1.5 ล้านเครื่องแล้วด้วยการ Brute-force

นักวิจัยจาก Morphus Labs ได้เปิดเผยถึงแคมเปญของ Botnet ที่ชื่อ ‘GoldBrute’ ว่ามีการโจมตีเครื่อง Windows RDP ที่เข้าถึงได้ผ่านอินเทอร์เน็ตด้วยการ Brute-force โดยคาดว่ามีตัวเลขของเหยื่อที่ถูกโจมตีแล้วอย่างน้อย 1,596,571 เครื่องทั่วโลก

credit : zdnet

ขั้นตอนการปฏิบัติการของ Botnet มีดังนี้ (ดูรูปประกอบตามด้านบน)

  • ใช้การ Brute-force ผ่านอินเทอร์เน็ตเพื่อเข้าถึงเครื่อง Windows ที่เปิดใช้งาน RDP
  • เมื่อเข้าไปได้แล้วจะดาวน์โหลดไฟล์ ZIP นำมัลแวร์ GoldBrute เข้ามา
  • สแกนหาเครื่องอื่นที่ยังไม่ได้ติดมัลแวร์ (ไม่อยู่ในลิสต์รายชื่อที่ตนมี)
  • หากค้นหาเครื่องครบ 80 เครื่องแล้วจากส่งลิสต์ IP ออกไปยังเซิร์ฟเวอร์ควบคุม
  • เครื่องที่ติดมัลแวร์จะได้รับลิสต์ของ IP เพื่อใช้ช่วยกัน Brute-force ต่อไป โดยแต่ละ IP จะมีการทดลอง Authen ด้วยชื่อ Username และ Password เพียงครั้งเดียวเท่านั้น ทั้งนี้ Bot แต่ละตัวจะได้ Username และ Password ต่างกัน
  • Brute-force และรายงานผลกลับไปหาเซิร์ฟเวอร์ควบคุม

ปัจจุบันยังไม่สามารถประเมินภาพรวมการโจมตีของ GoldBrute ได้แต่คาดว่ามีเหยื่อไม่น้อยแล้วเนื่องจากการพบเหยื่อใหม่ค่อยๆ ลดลง (แต่ฐานที่ทำสำเร็จอาจเพิ่มขึ้น) นอกจากนี้การป้องกันยังทำได้ยากเพราะจากขั้นตอนจะเห็นว่า Bot ได้สลับกันโจมตีเพียงครั้งเดียวด้วย อย่างไรก็ตามแคมเปญนี้ยืนยันว่าแฮ็กเกอร์ยังคงใช้วิธีเดิมๆ ซึ่งมีสถิติจาก Bad Packets พบว่าการโจมตี RDP กว่า 96.6% คือการ Brute-force และ การใช้ช่องโหว่เก่า แต่มีข้อสังเกตคือ 3.4% เริ่มมีช่องโหว่ Bluekeep ปะปนมาแล้วนะครับ ดังนั้นสิ่งที่ทุกท่านต้องทำคืออัปเดตแพตช์อย่างล่าสุดและใช้รหัสผ่านที่แข็งแกร่งในการป้องกันด้วยนะครับ

ที่มา : https://www.zdnet.com/article/a-botnet-is-brute-forcing-over-1-5-million-rdp-servers-all-over-the-world/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Fortinet เปิดตัว FortiWeb 6.1.0 เสริมฟีเจอร์ Machine Learning และ Botnet Detection

Fortinet ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยสมรรถนะสูง ประกาศเปิดตัว FortiWeb เวอร์ชัน 6.1.0 ใหม่ล่าสุด พร้อมผสานเทคโนโลยี Machine Learning เข้าไปยังฟีเจอร์ต่างๆ รวมไปถึงปรับปรุง Botnet Detection ให้มีประสิทธิภาพดียิ่งขึ้น

Cloudflare เผยซอร์สโค้ดไลบรารี่เข้ารหัส ‘CIRCL’ ช่วยศึกษาผลลัพธ์จาก Quantum Computing

Cloudflare ได้ประกาศเปิดเผยซอร์สโค้ดในไลบรารี่การเข้ารหัสของตนที่ชื่อ CIRCL ไว้บน GitHub ซึ่งเป็นความพยายามในการเตรียมตัวรับมือกับยุคของ Quantum Computing ที่อาจจะส่งผลกับอัลกอริทึมการเข้ารหัสที่มีอยู่ในปัจจุบัน