GoldBrute
O GoldBrute é um grande botnet que está aproveitando vulnerabilidades no RDP (Remote Desktop Protocol) para infectar dispositivos atualmente. O GoldBrute está sendo entregue às vítimas, aproveitando as portas RDP mal protegidas em servidores que executam o sistema operacional Windows. Esses ataques podem tirar proveito de explorações conhecidas ou simplesmente contar com a vantagem de proteção de senha insatisfatória e procedimentos de login de usuário fracos.
Índice
A Tática Usada pelo GoldBrute para Obter Acesso aos Dispositivos Visados
O GoldBrute usa o mecanismo de busca Shodan.io para encontrar servidores com o RDP ativado. Invasores GoldBrute usam uma longa lista de senhas comumente usadas e nomes de usuários e simplesmente tentam ataques de força bruta para obter acesso aos dispositivos das vítimas. Infelizmente, a falta de segurança é tão comum que isso permitiu à GoldBrute obter acesso a vários dispositivos em todo o mundo. Uma vez que um dispositivo tenha sido infectado com o GoldBrute, ele será usado para, por sua vez, espalhar o GoldBrute para outros dispositivos, realizando essas operações de força bruta para continuar comprometendo os servidores habilitados para RDP.
As Fraquezas do RDP que Permitem os Ataques do GoldBrute
Cerca de um milhão e meio de servidores foram direcionados com técnicas de força bruta para espalhar o GoldBrute. Isso aconteceu logo após a Microsoft divulgar informações sobre uma vulnerabilidade conhecida como BlueKeep (CVE-2019-0708), específica dos Serviços de Área de Trabalho Remota, que dependem do RDP para funcionar. Um problema específico é que, embora a Microsoft tenha lançado um patch de segurança para ajudar os usuários a corrigir essa vulnerabilidade, parecia que pelo menos um milhão de dispositivos ainda estavam vulneráveis a essa vulnerabilidade. Enquanto os pesquisadores de segurança do PC continuam aguardando um ataque devastador envolvendo a vulnerabilidade do BlueKeep, os criminosos usaram, entretanto, um método muito mais simples para distribuir GoldBrute para atingir quase 1,6 milhão de dispositivos (e o número de servidores vulneráveis a esses tipos de brutos RDP). ataques de força parecem ser quase 2,5 milhões de acordo com o motor Shodan!)
As táticas usadas para distribuir GoldBrute não são complicadas, mas têm alguns aspectos curiosos. Por exemplo, parece que cada bot infectado com GoldBrute tentará apenas uma única combinação de nome de usuário e senha, provavelmente para ignorar a proteção baseada em IP e possíveis alertas de autenticação que podem derivar de uma única fonte tentando realizar um ataque de força bruta. Isso significa que as técnicas de exploração bruta e de força bruta do RDP se tornam especialmente mais eficazes à medida que mais dispositivos são comprometidos e integrados ao botnet GoldBrute. A maior parte dos servidores direcionados está localizada na China (mais de 875 mil dispositivos) com os Estados Unidos em segundo lugar, com aproximadamente 434 mil metas.
Removendo as Vulnerabilidades do RDP para Limitar a Exposição ao GoldBrute
Se o RDP não for necessário em seu servidor, é aconselhável desativá-lo completamente. Uma medida eficaz também é configurar uma regra de firewall para bloquear também portas RDP. Se o RDP for necessário, geralmente em ambientes corporativos, recomenda-se acessar o RDP por meio de uma VPN para garantir que ele não seja exposto à Web. Também é crucial ter autenticação de múltiplos fatores e senhas fortes que não podem ser comprometidas em ataques de força bruta.
Embora a proteção comum seja limitar o número de vezes que uma senha pode ser adivinhada, a GoldBrute ignora essa proteção usando bots diferentes para experimentar combinações diferentes de senha e nome de usuário. Além de proteger os servidores com fortes medidas de segurança e limitar as vulnerabilidades do RDP, o uso de um programa de segurança forte é essencial. Firewalls e softwares de segurança podem limitar a extensão da invasão severamente quando se trata de ataques de botnet, como aqueles envolvidos em infecções e campanhas da GoldBrute, particularmente.
