近日，安天 CERT 在梳理網絡安全事 件時發現一個名為 GoldBrute 的僵尸網絡 開始活躍，GoldBrute 通過傳統的 RDP 爆 破方式進行傳播，對全球超過 150 萬個設 備進行掃描，被該病毒感染的主機會受 C&C 服務器 104.156.249.231 操控，僵尸網 絡之間的通信交流則通過端口 8333 進行。

      首先，被控端通過掃描互聯網找到 那些暴露了 RDP 的 Windows 主機，一旦 找到暴露了 RDP 的主機，受控端便會向 C&C 服務器報告，如果累計達到了 80 臺 主機，那么 C&C 服務器將分配一個目標 來發動暴力攻擊，并且每個受控端只對目 標嘗試一個用戶名和密碼，每次身份驗證嘗試都來自不同的地址，以避免被檢測到。 一旦攻擊成功，它就會下載一個帶有 Java 環境的壓縮文件，解壓縮后運行一個名為 “bitcoin.dll” 的 jar 文 件， 然 后 新 的 受 控 端開始掃描互聯網上開放的 RDP 服務器， 如果發現新的暴露了 RDP 的 Windows 主 機，那么它將繼續報告給 C&C 服務器，如 果累計依舊達到了 80 臺主機，那么 C&C 服務器就會啟用暴力破解 RDP 服務器，在 暴力破解階段，受控端不斷從 C&C 服務 器獲取用戶名和密碼組合進行破解。

、       安天 CERT 提醒廣大政企客戶，要提 高網絡安全意識，在日常工作中要及時進 行系統更新和漏洞修復，不要隨意下載非正版的應用軟件、非官方游戲、注冊機等。 收發郵件時要確認收發來源是否可靠，更 加不要隨意點擊或者復制郵件中的網址， 不要輕易下載來源不明的附件，發現網絡 異常要提高警惕并及時采取應對措施，養 成及時更新操作系統和軟件應用的好習 慣。確保所有的計算機在使用遠程桌面服 務避免使用弱密碼，如果業務上無需使用 遠程桌面服務，建議將其關閉。

      目前，安天追影產品已經實現了對該 類惡意代碼的鑒定；安天智甲已經實現了 對該惡意代碼的查殺。