În timp ce toata atenția era îndreptată catre noua vulnerabilitate BlueKeep, o alta amenințare a fost descoperită. Pe 6 mai 2019 cei de la Morpheus Labs au găsit și publicat detalii referitoare la GoldBrute, un botnet (vezi mai sus) ce a încercat să spargă prin intermediul bruteforce-ului (adică prin încercări de combinații posibile) peste  3 milioane de dispozitive cu diferite versiuni de  Windows instalate.

Acest botnet scanează internetul în încercarea de a găsi dispozitive Windows ce au RDP-ul expus. Odată descoperite, botnet-ul (întreaga rețea de dispozitive infectate) începe să încerce să se autentifice folosind o serie de posibile parole.

Un sistem odată infectat (capătă denumirea de zombie sau bot) este forțat să descarce codul bot-ului (80MB – destul de mare față de alte botnet-uri) ce include întregul script Java.

Botul este implementat într-o clasa din codul  Java numită „GoldBrute” , de aici provenind și numele.

Cum functioneaza?

1. Inițial botul va scana adrese IP la întamplare în încercarea de a găsi mai multe dispozitive cu RDP expus;
2. Mai departe IP-urile vor fi raportate către C&C (Centrul de comanda și control al botnet-ului);
3. Dupa ce botul raportează 80 de noi victime se va opri din căutat victime (scanare RDP) și va aștepta comenzi de la C&C;
4. C&C-ul trimite permanent, liste cu victime(IP-uri) către bot. Fiecare bot va încerca un singur username și o singură parola per victimă. Această strategie este utilizată pentru ca botul sa rămână nedetectat.

• Fișierul ce conține bot-ul poartă numele de ,,bitcoin.dll” pentru a induce utilizatorul în eroare.

Cum arată codul?

Se pot observa IP-ul, C&C-ului, portul precum și inițializarea GoldBrute.

Aici putem observa diferiți parametri de criptare precum și IP range-ul în care GoldBrute acționează inițial.

Aceasta secțiune de cod realizează update-ul serverului de C&C cu noi date.

Astfel, după 6 ore de testare a acestui cod,  cei de la Morpheus Labs au obținut 2,1 milioane de adrese IP primite de la serverul de C&C, dintre care aproximativ 1,5 milioane sunt unice conform site-ului Morpheus Labs.

Mai departe am continuat investigația și am aflat faptul că GoldBrute datează din anul 2017. El a fost publicat de către autorul său pe un forum rusesc de hacking și vândut pentru 900$. Inițial purta numele de RDPPlatinumBrute și era un simplu RDP bruteforce.

RDPPlatinumBrute este menționat, de asemenea, într-un document publicat de Deloitte decembrie 2018 – ,,Black Market Ecosystem”, .

Acesta a implementat odată cu schimbarea numelui și componenta de decenetralizare a botnetului și ‘unique try per victim’, elementul de noutate a acestui botnet.

Concret, dupa ce infectează dispozitivele (zombies) le orchestrează astfel încât fiecare încearcă doar o singură combinație pentru fiecare IP primit de la C&C, trecând neobservat la nivelul unui dispozitiv (observabil doar la un nivel mult mai amplu).

Deși cunoaștem autorul software-ului ne este totuși imposibil să aflăm autorul atacului deoarce programul a fost re-comercializat de mai multe ori.

(btc wallet – prima tranzacție: 32kYDC5wsjRzfwZW238GJqRTLwUxjjXtQm)

Singurul lucru pe care îl putem afirma în acest moment este faptul că autorul atacului este cel mai probabil de origine estica (comercializarea software-ului s-a desfășurat strict pe forumuri rusești).

Pe această temă:

• ThreatPost.com
• MorpheusLabs.com
• BleepingComputer.com
• ZDnet.com

Indicatori (IoC):

• https://github.com/arealshadow/goldbrute/  –  Codul sursă
• 104[.]156[.]249[.]231    –   C&C [port:8333]