黑客已经部署了一个僵尸网络，该网络主动针对运行远程桌面协议(RDP)连接的系统，使用难以检测的暴力破解机制。一位安全研究人员发现，迄今为止已有超过150万个RDP终端被一个名为GoldBrute的僵尸网络所破坏，而这一数字预计只会上升。

尽管最近对Windows Bluekeep的关键漏洞给予了广泛的关注，但强调强暴仍然是一种危险的攻击手段。这在上个月被揭示为远程桌面服务(RDS)，远程代码执行(RCE)和RDP漏洞，可能允许攻击者在旧Windows系统上运行任意恶意代码。

“微软修补了一个关键的远程代码执行漏洞，最近发布了远程桌面协议RDP，”他说。相比之下，蛮力僵尸网络一直在网上搜索暴露的RDP服务器，并利用不充分的密码建立一个黑客端点网络，Morphus Labs的首席研究官Renato Marinho说。

“虽然围绕这个'Bluekeep'漏洞报道的重点是修补易受攻击的服务器，但将RDP暴露在互联网上从来都不是一个好主意。“僵尸网络一直在扫描这些服务器，并使用弱密码和重用密码来访问它们。”

GoldBrute违反的系统将首先被指示下载包含恶意软件应变的80MB大小的ZIP文件。然后，该程序扫描随机IP地址，以查找具有已公开RDP服务器的潜在主机，这些服务器尚未列在已知端点的主GoldBrute目录中。

在找到80个新端点后，恶意软件会将此IP地址列表发送到单个远程命令和控制(C&C)服务器。反过来，受感染的系统会收到蛮力的IP地址列表。

至关重要的是，只有一次尝试破解列出的每个IP地址，只有一个用户名和密码组合。

据Marinho称，这是一种可能的策略，即“在安全工具的雷达下飞行”，因为每次身份验证尝试都来自不同的地址。这意味着GoldBrute的黑客攻击难以被企业部署的一系列安全系统检测到。

然后，成功的用户名和密码组合将反馈到C&C服务器，GoldBrute背后的攻击者将可以访问它们。

在分析了GoldBrute代码并试图了解其机制之后，Marinho的团队获得了210万个IP地址，其中1,596,571个是唯一的。然后，他们将这些地址绘制在全球地图上，韩国是攻击的明确热点，其次是亚洲其他地区以及美国，中欧和英国的地点。

与此同时，鉴于困扰传统Windows系统的Bluekeep威胁，国家网络安全中心(NCSC)已重申建议企业尽快应用微软最新的安全补丁。

组织还应关注面向外部的RDP服务，关键服务器(如域控制器和管理服务器)以及非关键服务器(但启用了RDP的服务器)。