Các nhà nghiên cứu bảo mật đã phát hiện ra một chiến dịch botnet tinh vi đang tấn công brute-force trên hơn 1,5 triệu máy chủ Windows RDP có thể truy cập công khai trên Internet.

Brute-force là cách thức thử tất cả các khả năng có thể để đoán các thông tin cá nhân đăng nhập: tài khoản, mật khẩu, số thẻ tín dụng…

Phát hiện brute-force botnet mới cực kỳ nguy hiểm

Mang tên GoldBrute, quy trình botnet được thiết kế leo thang dần dần thông qua cách thức thêm từng hệ thống bị bẻ khóa mới vào mạng của nó, từ đó buộc các hệ thống này phải tìm thêm các máy chủ RDP mới có sẵn và sau đó tiến hành các cuộc tấn công brute-force.

Để “qua mắt” các công cụ bảo mật và các nhà phân tích malware, những kẻ tấn công đứng đằng sau chiến dịch này đã lệnh cho mỗi máy bị nhiễm nhắm mục tiêu vào hàng triệu máy chủ với một tập hợp tên người dùng và mật khẩu duy nhất, do đó một máy chủ được nhắm mục tiêu sẽ nhận được các nỗ lực brute-force từ các địa chỉ IP khác nhau.

Cách thức hoạt động của cuộc tấn công brute-force

Renato Marinho tại Morphus Labs đã phát hiện ra chiến dịch như được mô tả trong hình ảnh minh họa. Đồng thời, cách thức hoạt động (modus operandi) của nó đã được giải thích trong các bước sau:

Bước 1 – Sau khi brute-force thành công một máy chủ RDP, các hacker sẽ cài đặt phần mềm độc hại botnet GoldBrute dựa trên JAVA trên các thiết bị.

Bước 2 – Để kiểm soát các máy bị nhiễm, các hacker sử dụng máy chủ chỉ huy và kiểm soát tập trung (centralized command-and-control server), cố định để trao đổi các lệnh và dữ liệu qua kết nối WebSocket được mã hóa AES.

Bước 3 và 4 – Mỗi máy bị nhiễm sau đó nhận nhiệm vụ đầu tiên là quét và báo cáo lại danh sách ít nhất 80 máy chủ RDP mới có thể truy cập và thực hiện brute-force.

Bước 5 và 6 – Các hacker sau đó gán cho mỗi máy bị nhiễm với một nhóm kết hợp tên người dùng và mật khẩu duy nhất như là nhiệm vụ thứ hai để buộc các thiết bị phải cố gắng chống lại danh sách các mục tiêu RDP mà hệ thống bị nhiễm liên tục nhận được từ máy chủ C & C.

Bước 7 – Đối với các nỗ lực thành công thì các máy bị nhiễm sẽ báo cáo lại thông tin đăng nhập cho máy chủ C & C.

Cho tới thời điểm này vẫn chưa rõ chính xác có bao nhiêu máy chủ RDP đã bị xâm nhập và tham gia vào các cuộc tấn công brute-force chống lại các máy chủ RDP khác trên Internet.

Trong một cuộc tìm kiếm nhanh của Shodan cho thấy khoảng 2,4 triệu máy chủ Windows RDP có thể được truy cập trên Internet và có lẽ hơn một nửa trong số đó đang nhận được những nỗ lực brute-force.

Các lỗ hổng mới được phát hiện

Remote Desktop Protocol (RDP) gần đây đã đưa ra các headline cho hai lỗ hổng bảo mật mới, trong đó có một lỗ hổng đã được Microsoft vá, lỗ hổng còn lại thì vẫn chưa.

Được đặt tên là BlueKeep, lỗ hổng được vá (CVE-2019-0708) là một lỗ hổng sâu có thể cho phép kẻ tấn công từ xa kiểm soát các máy chủ RDP và nếu bị khai thác thành công, có thể gây ra sự tàn phá trên toàn thế giới, có khả năng tệ hơn nhiều so với những gì WannaCry và NotPetya thích các cuộc tấn công đã làm trong năm 2017.

Lỗ hổng chưa được vá nằm trong Windows có thể cho phép kẻ tấn công phía máy khách (client-side) bỏ qua màn hình khóa trên các phiên máy tính để bàn từ xa (RD).

BÌNH LUẬN

Please enter your comment!
Please enter your name here