Saldırılar

Yeni RDP Botnet'i: GoldBrute

Siber güvenlik araştırmacıları, Uzak Masaüstü Protokolünü etkileyen yeni bir botnet saldırısı keşfetti.

Ali
Cu, 07/06/2019 - 18:05
Yeni RDP Botnet'i: GoldBrute

Uzak Masaüstü Protokolü (RDP), her zaman hackerların hedeflerindeki sisteme erişmek için istismar ettiği protokollerden olmuştur.

Son zamanlarda ise Windows'un eski sürümlerinde tespit edilen ve RDP'yi etkileyen BlueKeep zafiyetini istismar eden hackerlar, saldırılarına yenilerini ekliyor.

Morphus Labs tarafından keşfedilen ve GoldBrute adı verilen botnet ağı, tüm dünyadaki RDP'yi kullanan bilgisayarları hedefliyor.

Araştırmacılar, dünya üzerinde internete açık olarak duran RDP kullanan bilgisayarların sayısının 1.5 milyondan fazla olduğunu söyledi. Bu bilgisayarlar, GoldBrute botnet ağının hedefinde ve araştırmacılar, bu bilgisayarların sayısının ilerleyen günlerde artış göstermesini bekliyor.

Araştırmacılar, GoldBrute'un çalışma şeklini ise aşağıdaki gibi tespit etti:

  • GoldBrute, ilk olarak RDP kullanan bir Windows bilgisayara brute force saldırısı düzenler ve sisteme erişir.
  • GoldBrute, eriştiği bilgisayara bir ZIP dosyası indirir.
  • Ardından GoldBrute'un bir botuna dönüşen bilgisayar, internete açık olan ve RDP kullanan bilgisayarları tarar.
  • 80 tane internete açık RDP noktası bulan bot, bulduğu noktaların (bilgisayarların) IP adreslerini C&C sunucusuna gönderir.
  • Daha sonra bot, C&C sunucusu tarafından bir IP adresi listesi alır. Bu listedeki IP adreslerine RDP kullanıcı adı ve şifre dener yani brute force saldırısı gerçekleştirir. Ancak bu deneme hedef başına bir kullanıcı adı ve şifre olacak şekilde olur.
  • Son olarak bot, yaptığı brute force saldırısının sonucunu C&C sunucusuna gönderir.

GoldBrute botnet ağının ne kadar büyüdüğü ise şuan için bilinmiyor. Ayrıca araştırmacılar, şirketlerin ve bireysel kullanıcıların GoldBrute'u tespit etmesinin zor olduğunu söyledi. Çünkü GoldBrute, kurbanlar üzerinde kullanıcı adı ve şifre denerken sadece bir deneme yapıyor ve bu, siber güvenlik sistemlerinin brute force saldırılarını tespit etme yöntemlerini kandırıyor.

Kullanıcıların, söz konusu botnet saldırısından korunması için yapması gereken ise Microsoft tarafından yayınlanan ve BlueKeep zafiyetini gideren güvenlik yamasını edinmektir.