根據安全研究人員最新調查,知名勒索軟體組織Black Basta已開發出一套名為「BRUTED」的自動化暴力破解工具,專門用於入侵企業邊緣網路裝置,如防火牆和VPN。此工具讓攻擊者能夠大規模地入侵公開在網際網路上的企業遠端存取系統,顯著提升勒索軟體攻擊的效率與規模。
EclecticIQ資安公司研究員Arda Büyükkaya通過深入分析被洩露的Black Basta內部聊天記錄,發現該組織自2023年起已開始使用BRUTED平台執行大規模憑證填充和暴力破解攻擊。此發現與2024年多起針對這類裝置的大規模暴力破解和密碼噴灑攻擊報告相符,顯示這可能是BRUTED或類似工具所造成的影響。
專門針對七大遠端存取產品
根據原始碼分析,BRUTED框架專門設計用來暴力破解以下七種常見的VPN和遠端存取產品的憑證:
- SonicWall NetExtender
- Palo Alto GlobalProtect
- Cisco AnyConnect
- Fortinet SSL VPN
- Citrix NetScaler (Citrix Gateway)
- Microsoft RDWeb (遠端桌面網頁存取)
- WatchGuard SSL VPN
BRUTED的運作方式極為精密。它首先透過列舉子網域、解析IP地址,並附加".vpn"或"remote"等前綴來搜尋公開可訪問的目標裝置。一旦找到符合目標清單的裝置,系統會立即回報給指揮控制(C2)伺服器。
確認潛在目標後,BRUTED會從遠端伺服器獲取密碼候選清單,並結合本地生成的猜測,通過多個CPU處理程序同時執行大量認證請求。原始碼顯示,BRUTED為每種目標裝置使用特定的請求標頭和用戶代理來執行暴力破解攻擊。
研究發現,
BRUTED具有進階情報收集能力,能自動從目標裝置的SSL憑證擷取通用名稱(CN)及主體替代名稱(SAN)資訊。攻擊者利用這些資料分析目標組織的網域結構和命名慣例,進而生成更有針對性的密碼組合,顯著提升暴力破解的成功機率。
使用代理伺服器規避偵測
為了躲避安全偵測,該框架使用一系列SOCKS5代理,將攻擊者的基礎設施隱藏在中間層背後。其主要基礎設施由俄羅斯的多個伺服器組成,註冊在Proton66 (AS 198953)名下。
像BRUTED這樣的工具可讓勒索軟體操作更加簡化,透過一次性入侵多個網路,最小化攻擊者的工作量,同時增加獲利機會。
資安專家建議採取以下防護措施:
- 強化密碼管理:為所有邊緣裝置和VPN帳戶實施強大且獨特的密碼
- 啟用多因素認證(MFA):即使認證被破解,也能阻止未授權存取
- 監控可疑登入:監視來自未知位置的認證嘗試和大量登入失敗
- 實施速率限制:設置帳戶鎖定政策,防止連續多次失敗嘗試
- 阻擋惡意基礎設施:ElecticIQ已分享BRUTED使用的IP和網域清單,可用於建立新的防火牆規則
- 保持裝置更新:雖然BRUTED不利用漏洞入侵網路邊緣裝置,但仍然至關重要的是應用最新的安全更新
隨著自動化攻擊工具的興起,組織需要更加警惕並加強其網路邊界安全措施,特別是隨著遠端工作持續普及,這些邊緣裝置成為攻擊者的首選目標。
延伸閱讀:Black Basta勒索軟體進化:結合電郵轟炸、QR碼與社交工程手法
本文轉載自bleepingcomputer。