對(duì)于僵尸網(wǎng)絡(luò)，想必各位都略有耳聞，攻擊者通過(guò)各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令，組成一個(gè)僵尸網(wǎng)絡(luò)。之所以用“僵尸網(wǎng)絡(luò)”這個(gè)名字，也是更形象地讓大家知道這類攻擊的特點(diǎn)，即大量計(jì)算機(jī)在不知不覺(jué)中如同僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。

近日，據(jù)外媒報(bào)道稱，一個(gè)被稱為GoldBrute的新僵尸網(wǎng)絡(luò)，掃描隨機(jī)IP地址來(lái)檢測(cè)暴露了RDP的Windows機(jī)器，有150多萬(wàn)臺(tái)RDP服務(wù)器易受攻擊。與其他僵尸網(wǎng)絡(luò)一樣，GoldBrute并沒(méi)有使用弱口令，也沒(méi)有利用數(shù)據(jù)泄露中的重復(fù)密碼，而是使用自己的用戶名和密碼列表來(lái)發(fā)起蠻力攻擊。

據(jù)了解，來(lái)自Morphus實(shí)驗(yàn)室的安全研究人員檢測(cè)到正在進(jìn)行的惡意攻擊，該攻擊由一臺(tái)C＆C服務(wù)器控制，而僵尸網(wǎng)絡(luò)之間的通信交流則通過(guò)端口8333使用對(duì)稱加密算法AES進(jìn)行。

至于具體的攻擊方式，首先bot通過(guò)掃描互聯(lián)網(wǎng)找到那些暴露了遠(yuǎn)程桌面協(xié)議服務(wù)的Windows主機(jī)，一旦找到主機(jī)，便會(huì)向C＆C服務(wù)器報(bào)告，如果報(bào)告了80個(gè)主機(jī)，那么C＆C服務(wù)器將分配一個(gè)目標(biāo)來(lái)發(fā)動(dòng)暴力攻擊。需要注意的是，每個(gè)bot只對(duì)目標(biāo)嘗試一個(gè)用戶名和密碼，以避免被檢測(cè)到，這可能是一種安全工具的策略，因?yàn)槊看紊矸蒡?yàn)證嘗試都來(lái)自不同的地址。

一旦攻擊成功，它將下載zip archive，解壓縮后運(yùn)行一個(gè)名為“bitcoin．dll．”的jar文件；之后，新的bot開(kāi)始掃描互聯(lián)網(wǎng)上開(kāi)放的RDP服務(wù)器，一旦發(fā)現(xiàn)新的IP，它將繼續(xù)報(bào)告給C＆C服務(wù)器，當(dāng)達(dá)到80個(gè)RDP服務(wù)器后，C＆C服務(wù)器將為新bot分配一組目標(biāo)。在暴力攻擊階段，bot將不斷從C＆C服務(wù)器獲得用戶名和密碼組合。

與此同時(shí)，安全研究人員在實(shí)驗(yàn)室環(huán)境下測(cè)試了bot，6小時(shí)后從C2服務(wù)器接收到210萬(wàn)個(gè)IP地址，其中有1596571個(gè)是唯一的。據(jù)了解，GoldBrute僵尸網(wǎng)絡(luò)的目標(biāo)是全球暴露在互聯(lián)網(wǎng)上的RDP機(jī)器。