최근 인터넷상에 오픈된 Windows RDP 서비스에 브루트포싱을 통한 자격증명(Credential)을 획득하여 지속적인 감염을 일으키는 봇넷 캠페인이 발견되었다. 현재까지 150만대 이상의 유효한 RDP 자격증명을 보유하고 있는 것으로 추정되며 해당 봇넷은 GoldBrute 라고 불리고 있다. Morphus Labs의 최고 연구 책임자인 Renato Marinho는 최근 이슈가 되고 있는 CVE-2019-0708, BlueKeep RDP RCE 취약점보다 GoldBrute 악성 봇넷 캠페인이 더 큰 위협이라고 말했다.
[그림 1] GoldBrute 악성 봇넷 동작과정
1. RDP 브루트포싱 공격에 성공할 경우, GoldBrute 악성 봇이 설치된다.
2. 공격자 C&C와 연결되며, 8333 포트로 WebSocket 기반의 AES 암호화 통신을 한다.
3. 감염된 호스트는 인터넷상에서 오픈된 RDP 서비스를 가지는 호스트를 스캔한다.
4. 최소 80개 이상의 공격대상 호스트가 확인되면, 해당 정보를 C&C에 전송한다.
5. C&C 로부터 “host + username + password" 형태의 조합된 데이터를 수신한다.
6. 수신된 정보를 바탕으로 RDP 브투트포싱 공격을 하며 (5), (6) 단계는 반복적으로 수행된다.
(공격에 성공한 호스트는 새로운 봇이 되며 (1)~(6) 단계 반복 수행된다.)
7. 공격에 성공한 호스트의 자격증명(Credential)을 C&C 전송한다.
(현재까지 GoldBrute 악성 봇 캠페인에 탈취된 자격증명(Credential) 150만대 추정)
[IOCs]
Files (SHA256)
af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e (bitcoin.dll)
Network
104[.]248[.]167[.]144 (Zip download)
104[.]156[.]249[.]231:8333 (C&C)
[출처]
https://duo.com/decipher/goldbrute-botnet-is-brute-forcing-windows-rdp
MSS사업본부 MIR Team