GoldBrute: Botnetz scannt momentan über eine Millionen Windows-Systeme

Zur Zeit scannt ein Botnetz das Internet auf der Suche nach Windows-Systemen mit aktiviertem Remote Desktop Protocol (RDP) ab. Das „GoldBrute“ genannte Netz arbeitet eine Liste von 1,5 Millionen Computern ab, die nach und nach per Brute-Force-Angriff attackiert werden.

Image: Morpheus Labs

Wie Renato Marinho von Morphus Labs analysiert hat, nutzt das Botnetz eine Reihe von schwachen und wiederverwendeten Passwörtern. Mit dem erst kürzlichen und mittlerweile geschlossenen Exploit „Bluekeep“ hat GoldBrute erstmal nichts zu tun.

IP-Liste wird möglicherweise weiterverkauft

Bislang lässt sich der Zweck des Botnetz noch nicht einwandfrei feststellen. Möglicherweise werden die erfolgreich gehackten Systeme im Dark Web an Kriminelle weiterverkauft. Es soll zudem nur einen Kontroll-Server geben, der sich in New Jersey (US) befindet.

Da der Quellcode die gesamte Java Runtime beinhaltet ist er mit 80 Megabyte ziemlich groß. Ist der Code auf dem Rechner, macht sich das System auf die Suche nach schlecht geschützten RDP-Servern und meldet gefundene IP-Adressen per WebSocket zurück an den C&C Server (command and control).

GoldBrute unterläuft gängige Sicherheits-Standards

Wurden 80 neue Opfer gefunden, gibt der Kontrollserver den Windows-Rechnern eine Reihe von Zielen. Jeder Bot arbeitet dabei dabei nur einen bestimmten Usernamen und Passwort pro Ziel ab. So kommt jeder Anmeldeversuch von einer eigenen IP-Adresse. Da das für den Server völlig normal aussieht, werden mögliche Sicherheitsvorkehrungen unterlaufen.

Wurde ein Ziel erfolgreich gehackt, wird das 80-MB-Paket als Zip-Datei auch auf dem neuen Rechner heruntergeladen und gestartet – der Rechner ist jetzt ebenfalls Teil des Botnetzes.

Image: Morpheus Labs

Botnet-Größe lässt sich nur schätzen

Wie groß das Botnetz momentan genau ist, lässt sich nur schätzen. Marinho hat den Quellcode so manipuliert, dass GoldBrute während der Arbeit eine PC-Liste auf dem Labor-Rechner hinterlässt. Nach sechs Stunden hatte die Datenbank rund 1,6 Millionen IP-Adressen gesammelt.