Botnet greift Millionen von RDP-Servern an
Quelle: Morphus Labs

Botnet greift Millionen von RDP-Servern an

Ein neues Botnet mit der Bezeichnung Goldbrute nimmt Windows-Server mit aktiviertem Remote-Desktop-Protokoll aufs Korn. Aktuell sollen über 1,5 Millionen Server angegriffen werden.
7. Juni 2019

     

Sicherheitsforscher sind laut einem Bericht von "Zdnet.com" auf ein neues Botnet aufmerksam geworden, das Millionen von Windows-Servern mit aktiviertem Remote-Desktop-Protokoll (RDP) angreift. Das Botnet mit der Bezeichnung Goldbrute wurde vom Security-Experten Renato Marinho von Morphus Labs entdeckt und soll aktuell Brute-Force-Angriffe auf rund 1,5 Millionen RDP-Server ausführen, Tendenz steigend.

Laut Marinho arbeitet das Botnet nach folgendem Schema: Ein Botnet-Rechner verschafft sich via Brute-Force-Angriff Zugang zum einem Windows-Rechner via RDP-Verbindung. In einem nächsten Schritt wird eine Zip-Datei mit einer Malware geladen, worauf der attackierte Server seinerseits das Internet nach neuen RDP-Endpunkten scannt. Sobald 80 neue RDP-Verbindungen gefunden wurden, werden die IP-Adressen an den eigenen Command-and-Control-Server geschickt. Der infizierte Server erhält daraufhin eine Sammlung von IP-Adressen für neue Brute-Force-Attacken, wobei für jede Adresse nur eine Benutzer/Passwort-Kombination bereitgestellt wird, mit der sich der Bot-Rechner anzumelden versucht. Jeder Bot bekommt damit unterschiedliche Credentials, mit denen wiederum Brute-Force-Angriffe durchgeführt werden.


Das Botnet ist von Sicherheitsmechanismen nur schwer zu entdecken, da jeder Bot-Rechner nur einen Versuch unternimmt, sich am anvisierten System anzumelden. (rd)


Weitere Artikel zum Thema

Botnets bedrohen veraltete IoT- und Linux-Infrastruktur

10. September 2018 - Experten warnen vor den beiden bekannten Botnetzen Mirai und Gafgyt. Primär scheinen es die Angreifer auf veraltete Systeme abgesehen zu haben.

Bots äusserst aktiv beim Diebstahl von Zugangsdaten

22. Februar 2018 - Der State of the Internet Sicherheitsbericht hat für das 4. Quartal 2017 ermittelt, dass zwar die Anzahl der DDos-Angriffe zuletzt unverändert blieb, das Mirai-Botnet allerdings sehr aktiv bleibt und auf eine neue Angriffswelle hinweisen könnte.

Kommentare
Wer seine RDP Server direkt über WAN verfügbar macht, hat einfach selber Schuld. Wir leben seit langem in Zeiten von Gateways, DMZs und MFA Systemen, wenn ich die Arbeit verschiedener Systemhäuser in Deutschland so sehe, wundert mich aber auch nichts mehr.
Samstag, 8. Juni 2019, Andreas Hagendorf

Wer eine RDP-Verbindung ohne IP-Beschränkung nutzt, ist selber schuld.
Freitag, 7. Juni 2019, Ueli



Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
GOLD SPONSOREN
SPONSOREN & PARTNER