È stata scoperta in Italia dagli analisti di CybergON, business unit di Elmec Informatica, una variante ancora più pericolosa della botnet GoldBrute già identificata e analizzata lo scorso mese di giugno.
Il malware che si diffonde mediante la botnet consente di individuare e sfruttare server che espongono il servizio RDP (Remote Desktop Protocol) e che utilizzano credenziali deboli o rubate. Al momento sarebbero oltre 4 milioni le macchine censite e potenzialmente controllate da GoldBrute: erano 1,5 milioni i server presi di mira dalla botnet nei primi mesi di giugno.
Indice degli argomenti
I dettagli della nuova variante della botnet GoldBrute
Secondo gli analisti di sicurezza, nella nuova versione della botnet GoldBrute sono presenti alcune parti di codice malevolo non ancora completamente operative:
- il supporto a protocolli differenti dall’RDP per quanto riguarda il brute force (SSH e Telnet);
- l’utilizzo di un database SQL persistente in sostituzione delle liste volatili utilizzate per tenere memoria dello stato dell’esecuzione
- diversi entry point che consentono l’esecuzione di differenti parti del codice, indipendentemente dall’esecuzione del malware stesso.
La nuova variante di GoldBrute si nasconde dietro il processo javaw.exe, apparentemente lecito, che viene scaricato sulla macchina compromessa insieme al Java Runtime, varie librerie in formato DLL e ad un archivio ZIP protetto con la password XHr4jBYf5BV2Cd7zpzR9pEGn.
Dall’analisi del file ZIP si scopre che al suo interno si nascondono due file di testo:
- il primo file contiene circa 4 milioni di coppie <indirizzo IP>:<porta>;
- il secondo contiene circa 14 mila coppie <username>:<password> che vengono utilizzate per l’attività di brute force.
La prima azione malevola della botnet GoldBrute sulla macchina compromessa è l’esecuzione del malware stesso mediante il seguente comando:
C:Users<username>AppDataLocalbitcoinsbinjavaw.exe -server -d64 -Xms64m -jar C:Users<username>AppDataLocalbitcoinsbinbtclibrary.dll
dove il file btclibrary.dll è, in realtà, un file Java Archive Data (JAR) contenente le varie classi di libreria appartenenti al malware.
Come funzionava la prima variante di GoldBrute
L’azione malevola della prima variante della botnet GoldBrute prevedeva una scansione di indirizzi IP casuali per rilevare le macchine con sistema operativo Windows installato su cui è attivo il servizio di Remote Desktop Protocol.
Inoltre, il nome GoldBrute deriva dal fatto che la botnet utilizza un proprio dizionario contenente un elenco di credenziali composte da nome utente e password per cercare di bucare il server RDP mediante un attacco di tipo brute force.
Inoltre, secondo i ricercatori dei Morphus Labs che lo scorso mese di giugno hanno identificato le prime attività malevoli della botnet, GoldBrute sarebbe controllata da un unico server C&C (Command & Control) accessibile all’indirizzo 104[.]156[.]249[.]231 e le comunicazioni tra questo e i singoli bot avvengono tramite connessioni WebSocket crittografate con l’algoritmo AES sulla porta 8333.
GoldBrute: la botnet invisibile
La botnet GoldBrute sfrutta, inoltre, una particolare tecnica di attacco per cercare di nascondere le sue attività ai radar dei vari sistemi di sicurezza.
Ogni volta che un bot individua un host esposto su Internet, lo segnala immediatamente al server C&C. Appena ne trova 80, il server assegna al bot un set di bersagli da colpire mediante un attacco brute force.
È interessante notare che ogni bot proverà una sola combinazione di nome utente e password contro il bersaglio: si tratta di una strategia utile ad evitare rilevamenti di accessi non autorizzati da parte dei sistemi di sicurezza installati sulla macchina target. Ogni singolo tentativo dei vari bot proviene ovviamente da indirizzi diversi e verrebbe quindi scambiato per un semplice errore nel tentativo di accesso da parte di un utente remoto e non per una manovra offensiva.
Una volta che l’attacco ha avuto successo, sul server RDP “bucato” viene scaricato un pacchetto ZIP da circa 80 MB contenente il Java Runtime e la classe Java per l’esecuzione di un nuovo bot GoldBrute. Dopo aver decompresso il file ZIP, viene immediatamente eseguito un file .jar chiamato bitcoin.dll.
Così facendo, il nuovo bot viene attivato e subito inizia la sua azione di scansione di Indirizzi IP su Internet alla ricerca di altri possibili server RDP da hackerare.
Per comprendere la pericolosità della botnet GoldBrute, i ricercatori hanno simulato il funzionamento di un bot in ambienti di laboratorio. I risultati pubblicati sono stati a dir poco allarmanti: “dopo 6 ore abbiamo ricevuto 2,1 milioni di indirizzi IP dal server C2, di cui 1.596.571 unici. Naturalmente, non abbiamo eseguito la fase di brute force”.
I consigli per proteggersi
La botnet GoldBrute rappresenta dunque una nuova minaccia che prende di mira i server Remote Desktop Protocol così come già successo con la vulnerabilità wormable BlueKeep già patchata da Microsoft o come l’altra zero-day per la quale non è stata ancora rilasciato (e forse non lo sarà mai) un aggiornamento di sicurezza e che potrebbe consentire ad un attaccante remoto di hackerare il sistema di accesso a doppia autenticazione su sistemi Windows 10 1803 e Windows Server 2019.
Una minaccia, dunque, da non sottovalutare perché il protocollo RDP consente di accedere da remoto ad una macchina per averne il controllo completo: non a caso è utilizzato dagli amministratori di rete e di sistema e per l’assistenza remota.
Un aggressore in grado di hackerare un server RDP potrebbe quindi sfruttare questa opportunità per diffondere malware, rubare dati riservati o, come nel caso della botnet GoldBrute, trasformare le macchine infette in ulteriori bot da usare per lanciare massicci attacchi di tipo DDoS.
Per proteggersi dalla botnet GoldBrute, quindi, è importante installare innanzitutto la patch CVE-2019-0708 già rilasciata da Microsoft per correggere la vulnerabilità BlueKeep.
È utile, inoltre, abilitare l’autenticazione a livello di rete per impedire a qualsiasi aggressore non autenticato di sfruttare questa nuova vulnerabilità wormable.
È buona norma, infine, disabilitare eventuali server RDP non utilizzati per non esporli inutilmente su Internet.
Articolo pubblicato lo scorso 11 giugno e aggiornato in seguito alla scoperta della nuova variante della botnet GoldBrute.
