NOTIFICACION EVENTOS DE AMENAZA> Botnet Brute Force RDP Servers

  • 0
  • 12 junio, 2019

notificacion

Descripción del evento o vulnerabilidad

 

Nombre Evento/vulnerabilidad Numero de CVE (si aplica)
Botnet aprovecha vulnerabilidad RDP CVE-2019-0708

Se descubrió una botnet (GoldBrute) que utiliza la vulnerabilidad de RDP correspondiente al CVE-2019-0708, para realizar ataques de fuerza bruta y ampliar su rango de acción.

Botnet es el nombre genérico que denomina a cualquier grupo de PC infectados y controlados por un atacante de forma remota. Generalmente, un hacker o un grupo de ellos crea un botnet usando un malware que infecta a una gran cantidad de máquinas. Los ordenadores son parte del botnet, llamados “bots” o “zombies”. No existe un número mínimo de equipos para crear un botnet.

 

Análisis

La botnet GoldBrute está controlada por un solo servidor de comando y control (104.156.249.231). Los bots están intercambiando datos con él a través de conexiones WebSocket encriptadas AES al puerto 8333.

A un sistema infectado se le indicará primero que descargue el código del bot. La descarga es muy grande (80 MBytes) e incluye el runtime completo de Java. El propio bot se implementa en una clase de Java llamada “GoldBrute”.

El bot comenzará a escanear direcciones IP aleatorias para encontrar más hosts con servidores RDP expuestos para luego devolver estas direcciones IP al servidor de C&C. Después de que el bot reportó 80 nuevas víctimas, el servidor asignará un conjunto de objetivos para la fuerza bruta al bot.

rrr

Tareas de mitigación

Para mitigar esta amenaza se debe de aplicar las recomendaciones explicadas en el siguiente punto, las cuales contienen recomendaciones generales en base al comportamiento obtenido, además de contener indicadores de compromiso mediante los cuales se puede dar mayor precisión a las mejoras.

 

Conclusiones y recomendaciones

  • Para la prevención de esta amenaza se recomienda bloquear las siguientes IP,
  • 248.167.144 (desde donde se descarga el archivo ZIP)
  • 156.249.231:8333 (Servidor C2)
  • Realizar bloqueos por medio de directivas del siguiente hash el cual corresponde a un ejecutable encubierto como .dll: af07d75d81c36d8e1ef2e1373b3a975b9791f0cca231b623de0b2acd869f264e (bitcoin.dll)

By EQUIPO RAN SOC

+info: expertos@ransecurity.com

Leave a Reply

CONTACTO

E-mail: Soporte técnico: helpdesk@ransecurity.com Info: expertos@ransecurity.com
RANSecurity Argentina: (+54 11) 5353 9999
RANSecurity Chile: Tel: (+562) 3223 9532
RANSecurity Perú: Tel: (+51 1) 711 4764