150 万台の RDP サーバーが GoldBrute ボットネットの標的に

Microsoft のリモートデスクトッププロトコル(RDP)を使用しているユーザーは、この数週間心配で気が気でなかったはずです。

先週、Morphus Labs のリサーチャー Renato Marinho 氏が、150 万台の RDP サーバーを標的にした「GoldBrute」と呼ばれるボットネットによるブルートフォース攻撃を発見しました

RDP を使用する Windows XP および Windows 7 のリモートデスクトップサービス(RDS)にワームのように感染が広がる脆弱性「BlueKeep」(CVE-2019-0708)」が存在する可能性について、Microsoft が 5 月に緊急警告を発表したばかりであったため、Marinho 氏の報告に注目が集まりました。

最初の警告から 2 週間後に Microsoft が発表した 2 つめの警告は、少なくとも 100 万の脆弱なシステムにパッチがまだ適用されていないという内容であったため、ユーザーの不安は募りました。

2019 年 6 月 4 日には米国家安全保障局(NSA)が BlueKeep に関する深刻なトーンのアラートを出しており、何かしら大きな問題が起きていることは明らかでした。

すぐそこにある危機

BlueKeep を悪用した大規模攻撃はまだ発生していませんが、その間に GoldBruteボットによる攻撃が起きました。GoldBrute は、インターネットに公開されたままになっている RDP サーバーを標的とする、BlueKeep よりも単純な攻撃です。

Morphus Labs が Shodan で検索したところ、GoldBrute に対して脆弱なサーバーの数は 240 万台に上り、そのうちの 1,596,571 台が脆弱な認証情報を標的にしたブルートフォース攻撃をすでに受けていたことが判明しました。

攻撃が成功した各サーバーでは、C&C によって GoldBrute のコードが zip 形式でアップロードされます。このコードは、さらに RDP サーバーをスキャンするための足場として使用されます。その後、ブルートフォース攻撃の対象となる IP とサーバーの新しいリストがアップロードされます。Marinho 氏は次のように述べています。

(引用文日本語訳)各ボットは、ターゲットごとに 1 つの特定のユーザー名とパスワードを試します。この方法では毎回別のアドレスから認証が試みられるため、セキュリティツールによる検出を回避できるからだと考えられます。

Morphus Labs は、どれだけの数の攻撃が成功したのかを把握できていないため、ボットネットの規模は不明です。ただし、リストに載っていたサーバーをジオロケーションで特定しました。主なターゲットは中国(876,000 台のサーバー)と米国(434,000 台)でした。

(引用文日本語訳)GoldBrute は独自のリストを使用しており、そのリストは継続的なスキャンによって拡張し続けています。

RDP は長年にわたり問題を抱えてきました(ソフォスは 2017 年、恐喝型マルウェアに使用されていることにちなんで「Ransomware Desktop Protocol(ランサムウェアデスクトッププロトコル)」というニックネームを付けました)。しかし、ここ数週間の出来事を見れば、この脅威が悪化していること(少なくとも以前よりも注目が集まっていること)がわかります。

防御に必要な知識

Shodan の検索結果に表示されたサーバーの中には、電源をオンにした後忘れられていたサーバーも含まれていたはずです。そこで、サーバー管理者が最初にすべき対策は、自分のネットワーク内に同じようなサーバーが存在していないかどうかを確認することです。

RDP が必要ではない場合は、使用していない間オフにしておきます(ポート 3389 で RDP をブロックするようにファイアウォールルールを設定します)。

RDP が必要な場合は、インターネットに公開されないように VPN ゲートウェイで使用することを検討してください。

できる限り、サーバーの認証情報が何らかの方法で漏洩した場合のリスクを劇的に低減できるよう、ネットワーク多要素認証も有効にしてください。

パスワードの入力回数を制限することをお勧めしますが、前述したように、GoldBrute は検出を避ける目的で侵入先のホストごとに 1 回しか認証を試みません。

RDP の脅威に関して朗報が 1 つあるとすれば、大規模な攻撃に悪用される前に問題が明るみに出たことです。対策を講じる時間はまだ十分にあります。