针对全球150多万台RDP服务器的新型暴力僵尸网络

配音金布鲁特，僵尸网络计划的设计方式是逐渐升级，将每一个新的破解系统添加到其网络中，迫使他们进一步找到新的可用RDP服务器，然后对其进行暴力攻击。

为了在安全工具和恶意软件分析人员的监视下飞行，这场活动背后的攻击者命令每台受感染的机器使用一组唯一的用户名和密码组合以数百万台服务器为目标，以便目标服务器接收来自不同IP地址的暴力尝试。

这场运动由雷纳托·马里尼奥（Renato Marinho）在莫菲斯实验室（Morphus Labs）发现，如图所示，其运作方式已在以下步骤中解释：
Step 1，成功暴力强制RDP服务器后，攻击者会在机器上安装基于JAVA的GoldBrute僵尸网络恶意软件。

Step 2，为了控制受感染的机器，攻击者利用一个固定的、集中的命令和控制服务器，通过AES加密的WebSocket连接交换命令和数据。

步骤3和4， 然后，每台受感染的机器都会收到第一个任务，扫描并报告至少80个可公开访问的新RDP服务器列表，这些服务器可以被强制使用。
步骤5和6，然后，攻击者将一组唯一的用户名和密码组合分配给每台受感染的计算机作为其第二项任务，迫使它们尝试攻击受感染系统不断从C&amp，C服务器。

Step 7 ，成功尝试后，受感染的计算机会向C&amp，C服务器。

目前，尚不清楚到底有多少RDP服务器已经遭到破坏，并参与了针对互联网上其他RDP服务器的暴力攻击。
在撰写本文时，Shodan的快速搜索显示，大约240万台Windows RDP服务器可以在互联网上访问，其中可能有一半以上正在接受暴力攻击。

远程桌面协议（RDP）最近因两个新的安全漏洞而成为头条新闻，其中一个由微软修补，另一个仍然没有修补。

配音蓝堡, 修补后的漏洞（CVE-2019-0708）是一个可攻击的漏洞，可让远程攻击者控制RDP服务器，如果成功利用，可能会在世界各地造成严重破坏，可能比WannaCry和NotPetya在2017年的可攻击性攻击还要糟糕。

未修补的漏洞存在于Windows中，可能允许客户端攻击者绕过远程桌面（RD）会话上的锁屏。