新一轮GoBruteforcer僵尸网络恶意软件攻击正针对暴露服务器上的加密货币和区块链项目数据库,这些服务器被认为使用了AI生成的配置示例进行部署。

GoBruteforcer亦被称为GoBrut。这是一个基于Golang的僵尸网络,通常针对暴露的FTP、MySQL、PostgreSQL和phpMyAdmin服务。

该恶意软件常利用被入侵的Linux服务器扫描随机公共IP地址,并实施暴力登录攻击。

利用薄弱防御

Check Point研究人员估计,目前有超过50,000台面向互联网的服务器可能易受GoBrut攻击。

他们指出,初始入侵通常通过运行XAMPP的服务器上的FTP服务实现,因为其配置常使用脆弱的默认密码,除非管理员专门进行安全配置。

"当攻击者使用标准账户(通常是daemonnobody)和脆弱的默认密码获得XAMPP FTP访问权限后,典型下一步是将Web Shell上传至网站根目录。" ——Check Point

恶意软件活动在10-400秒延迟后启动,在x86_64架构上发起最多95个暴力破解线程,扫描随机公共IP地址段,同时跳过私有网络、AWS云地址段和美国政府网络。

每个工作线程生成单个随机公共IPv4地址,探测相关服务端口,遍历提供的凭据列表后退出。系统会持续生成新工作线程以维持设定的并发级别。

FTP模块依赖直接嵌入二进制文件的22组用户名-密码硬编码列表。这些凭据与XAMPP等网络托管堆栈中默认或常用部署账户高度重合。

GoBruteforcer感染链
GoBruteforcer's infection chain

Check Point表示,在近期攻击活动中,GoBruteforcer的活跃度因大型语言模型(LLM)生成的通用服务器配置片段被重复使用而提升,这导致appusermyuseroperator等脆弱可预测的默认用户名大量扩散。

这些用户名频繁出现在AI生成的Docker和DevOps指令中,使研究人员相信相关配置已被应用于实际系统,从而导致它们易受密码喷洒攻击。

助长该僵尸网络近期活动的第二个趋势是XAMPP等过时服务器堆栈仍在使用默认凭据和开放FTP服务。这类部署暴露了脆弱的网站根目录,使得攻击者能够植入Web Shell。

Check Point的报告重点披露了一场攻击活动:受感染主机被植入TRON钱包扫描工具,可对TRON和币安智能链(BSC)进行全网扫描。攻击者使用包含约23,000个TRON地址的文件,通过自动化工具定位并清空非零余额的钱包。

防御GoBruteforcer的管理员应避免使用AI生成的部署指南,并采用非默认用户名配合高强度唯一密码。

同时建议检查FTP、phpMyAdmin、MySQL和PostgreSQL的服务暴露情况,并用更安全的替代方案替换XAMPP等过时软件堆栈。

标签: 加密货币安全, 僵尸网络, 服务器安全, GoBruteforcer, 区块链安全

添加新评论