RDP, het remote desktop-protocol, haalde onlangs het nieuws nadat Microsoft een kritisch probleem met de uitvoering van externe code patchte (CVE-2019-0708). Hoewel de rapportage rond deze “Bluekeep” -kwetsbaarheid zich concentreerde op het patchen van kwetsbare servers, is het blootstellen van RDP aan het internet nooit een goed idee geweest. Botnets hebben naar deze servers gezocht en gebruiken zwakke en hergebruikte wachtwoorden om toegang te krijgen tot deze servers. Het nieuwste voorbeeld van een dergelijk botnet is een voortdurende schadelijke campagne waarnaar we verwijzen als ‘GoldBrute’. Dit botnet dwingt momenteel een lijst af van ongeveer 1,5 miljoen RDP-servers die zijn blootgesteld aan internet. Shdoan somt ongeveer 2,4 miljoen belichte servers op. GoldBrute gebruikt zijn eigen lijst en breidt het uit terwijl het blijft scannen en groeien.

Een geïnfecteerd systeem zal eerst worden geïnstrueerd om de botcode te downloaden. De download is erg groot (80 MegaBytes) en bevat de volledige Java Runtime. De bot zelf is geïmplementeerd in een Java-klasse genaamd “GoldBrute”.


In eerste instantie zal de bot beginnen met het scannen van willekeurige IP-adressen om meer hosts met blootgestelde RDP-servers te vinden. Deze IP’s worden gerapporteerd aan de Command & Control (C&C) servers. Nadat de bot 80 nieuwe slachtoffers had gerapporteerd, wijst de C & C-server een reeks doelen aan brute kracht toe aan de bot. Elke bot probeert slechts één gebruikersnaam en wachtwoord per doel. Dit is mogelijk een strategie om onder de radar van beveiliging hulpmiddelen te vliegen, aangezien elke authenticatiepoging uit verschillende adressen komt.

Bekijk het onderstaande schema en de volgende beschrijving om de modus operanden van de bedreiging beter te begrijpen.

Zodra de aanvaller met succes een RDP-doel (1) bruut forceert, downloadt het een groot zip-archief met de GoldBrute Java-code en de Java-runtime zelf. Na het decomprimeren, voert het vervolgens een jar-bestand uit met de naam “bitcoin.dll”. De extensie “dll” is mogelijk om nietsvermoedende gebruikers te camoufleren, maar wij vermoeden dat het gedeelte “bitcoin” meer aandacht trekt dan een “.jar” -extensie.

Vervolgens zal de nieuwe bot het internet gaan scannen naar open RDP-servers die ze “brutable” ‘(3) noemen en die via WebSocket-verbinding (4) naar de C2-server worden verzonden. Zodra de bot 80 brutable RDP-servers bereikt, begint de brute-force-fase.

In de brute-force fase, zal de bot voortdurend combinaties van “host + gebruikersnaam + wachtwoord” (5 en 6) en brute-force ontvangen.

Uiteindelijk heeft de aanvaller / groep achter GoldBrute toegang tot alle geldige combinaties (7).

Pin It on Pinterest