{"id":218949,"date":"2019-06-08T14:37:01","date_gmt":"2019-06-08T12:37:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218949"},"modified":"2024-04-28T11:15:07","modified_gmt":"2024-04-28T09:15:07","slug":"goldbrute-botnet-angriff-auf-rdp-server","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/08\/goldbrute-botnet-angriff-auf-rdp-server\/","title":{"rendered":"GoldBrute: Botnet-Angriff auf RDP-Server"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Momentan greift ein Botnets Windows RDP-Server an. Das Ganze hat aber nichts mit der BlueKeep-Schwachstelle zu tun. Denn Ziel des GoldBrute genannten Angriffs ist es, per Brute-Force-Methode die Zugangsdaten f\u00fcr den RDP-Server zu ermitteln und dann in die Maschine einzudringen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg01.met.vgwort.de\/na\/1d663a49543049188582872465939924\" width=\"1\" height=\"1\"\/>Morphus Labs, die dieses Botnet und den Angriff entdeckten, haben das Ganze im Artikel GoldBrute Botnet Brute Forcing 1.5 Million RDP Servers dokumentiert. Bereits im Eingangsstatement erw\u00e4hnen die Sicherheitsforscher, dass RDP, das Remote-Desktop-Protokoll, wegen BlueKeep in den Schlagzeilen sei. Aber wie gesagt, der GoldBrute genannte Botnet-Angriff hat nichts mit BlueKeep zu tun. Und wer seine Windows-Systeme gepatcht hat, braucht wegen BlueKeep keine grauen Haare mehr zu bekommen.<\/p>\n<h2>Gef\u00e4hrdet: RDP-Server, die per Internet erreichbar sind <\/h2>\n<p>Aber es keine gute Idee, RDP-Server per Internet erreichbar zu betreiben (wenn Zugriffe per Internet erforderlich sind, k\u00f6nnen VPN-Verbindungen ausfgesetzt werden. Hintergrund ist, dass Botnets nach offenen, \u00fcber das Internet erreichbaren RDP-Servern suchen. Dann werden diese Server mit Passwortanfragen \u00fcberschwemmt, um sich den Zugang \u00fcber Konten, die schwache und wiederverwendbare Passw\u00f6rter verwenden. Das j\u00fcngste Beispiel f\u00fcr ein solches Botnet ist eine laufende b\u00f6sartige Kampagne, die wir als \"GoldBrute\" bezeichnen. Dieses Botnet beackert derzeit eine Liste von etwa 1,5 Millionen RDP-Servern, die per Internet erreichbar sind. Shdoan GoldBrute verwendet seine eigene Kennwort-Liste und erweitert diese laufend, w\u00e4hrend die RDP-Server weiter gescannt werden. <\/p>\n<h2>Das GoldBrute-Botnet<\/h2>\n<p>Das GoldBrute-Botnet wird von einem einzigen Befehls- und Steuerungsserver (104[.]156[.]249[.]231) gesteuert. Bots tauschen mit ihm Daten \u00fcber AES-verschl\u00fcsselte WebSocket-Verbindungen zum Port 8333 aus.<\/p>\n<p>Ein infiziertes System wird zun\u00e4chst angewiesen, den Botcode herunterzuladen. Der Download ist sehr gro\u00df (80 MBytes) und beinhaltet die komplette Java Runtime. Der Bot selbst ist in einer Java-Klasse namens \"GoldBrute\" implementiert.<\/p>\n<p>Zun\u00e4chst beginnt der Bot mit dem Scannen zuf\u00e4lliger IP-Adressen, um weitere Hosts mit exponierten RDP-Servern zu finden. Diese IPs werden an den C&amp;C-Server zur\u00fcckgemeldet. Nachdem der Bot 80 neue Opfer gemeldet hat, weist der C&amp;C-Server dem Bot eine Reihe von Zielen zu. Jeder Bot wird nur einen bestimmten Benutzernamen und ein bestimmtes Passwort pro Ziel versuchen. Dies ist m\u00f6glicherweise eine Strategie, um unter dem Radar der Sicherheitswerkzeuge zu fliegen, da jeder Authentifizierungsversuch von verschiedenen Adressen kommt.  <\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"GoldBrute-Botnet\" alt=\"GoldBrute-Botnet\" src=\"https:\/\/cdn-images-1.medium.com\/max\/1600\/0*8b8sOMF5pyDtwDLz.png\" width=\"627\" height=\"500\"\/><br \/>(GoldBrute-Botnet, Quelle: Morphus Labs)  <\/p>\n<p>Das obige Diagramm zeigt die Arbeitsweise bei den Abl\u00e4ufen. Sobald der Angreifer die Anmeldedaten f\u00fcr ein RDP-Ziel erfolgreich per Brute-Force geknackt und Zugang erhalten hat, l\u00e4dt er ein gro\u00dfes Zip-Archiv herunter. Dieses enth\u00e4lt den GoldBrute Java-Code und die Java-Laufzeit selbst. Nach dem Entpacken wird dann eine jar-Datei namens \"bitcoin.dll\" ausgef\u00fchrt.  <\/p>\n<p>Als n\u00e4chstes beginnt der neue Bot, das Internet nach offenen RDP-Servern zu durchsuchen: Diese \"brutable\"' genannten RDP-Server werden die \u00fcber die WebSocket-Verbindung an den C2-Server gesendet. Sobald der Bot 80 brutable RDP-Server erreicht hat, startet er die Brute-Force-Phase. In der Brute-Force-Phase empf\u00e4ngt und verwendet der Bot kontinuierlich Kombinationen \"Host + Benutzername + Passwort\" mit Anmeldeinformationen. Nach einer Weile haben die Angreifer hinter GoldBrute Zugriff auf Konten auf RDP-Servern, deren Zug\u00e4nge mit den in der Brute-Force-Liste aufgef\u00fchrten Kombinationen aus Benutzername und Kennwort verwenden. <\/p>\n<p><a href=\"https:\/\/cdn-images-1.medium.com\/max\/1600\/0*8QSLWyXSY18OR_qW.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/cdn-images-1.medium.com\/max\/1600\/0*8QSLWyXSY18OR_qW.png\" width=\"623\" height=\"266\"\/><\/a><br \/>(Per GoldBrute-Botnet infizierte RDP-Server, Quelle: Morphus Labs)<\/p>\n<p>\u00dcber die Suchmaschine Shodan werden rund 2,5 Millionen per Internet erreichbare RDP-Server gemeldet. Schutz bietet nur, die RDP-Server per Firewall f\u00fcr den Internetzugang zu sperren. Bei Maschinen, die im Internet h\u00e4ngen, sollten zumindest starke Anmeldepassw\u00f6rter verwendet werden. Weitere Details sind dem Artikel von Morphus Labs zu entnehmen. Heise hat <a href=\"https:\/\/www.heise.de\/security\/meldung\/Botnet-GoldBrute-greift-RDP-Server-uebers-Internet-an-4442625.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen deutschsprachigen Artikel<\/a> zum Thema ver\u00f6ffentlicht. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Momentan greift ein Botnets Windows RDP-Server an. Das Ganze hat aber nichts mit der BlueKeep-Schwachstelle zu tun. Denn Ziel des GoldBrute genannten Angriffs ist es, per Brute-Force-Methode die Zugangsdaten f\u00fcr den RDP-Server zu ermitteln und dann in die Maschine einzudringen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,4325],"class_list":["post-218949","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218949","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218949"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218949\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218949"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218949"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218949"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}