至于僵尸网络，你一定听说过一些。攻击者通过各种渠道传播机器人来感染互联网上的大量主机。被感染的主机将通过控制信道接收攻击者的指令以形成僵尸网络。使用“僵尸网络”这个名称的原因，这也是让每个人都知道这种攻击的特点的一种更生动的方式，也就是说，大量的计算机是由僵尸群体这样的人无意识地驱动和指挥的，成为人们使用的工具。

近日，据外媒报道称，一个被称为GoldBrute的新僵尸网络，扫描随机IP地址来检测暴露了RDP的Windows机器，有150多万台RDP服务器易受攻击。与其他僵尸网络一样，GoldBrute并没有使用弱口令，也没有利用数据泄露中的重复密码，而是使用自己的用户名和密码列表来发起蛮力攻击。

据了解，来自Morphus实验室的安全研究人员检测到正在进行的恶意攻击，该攻击由一台C&C服务器控制，而僵尸网络之间的通信交流则通过端口8333使用对称加密算法AES进行。

至于具体的攻击方式，首先bot通过扫描互联网找到那些暴露了远程桌面协议服务的Windows主机，一旦找到主机，便会向C&C服务器报告，如果报告了80个主机，那么C&C服务器将分配一个目标来发动暴力攻击。需要注意的是，每个bot只对目标尝试一个用户名和密码，以避免被检测到，这可能是一种安全工具的策略，因为每次身份验证尝试都来自不同的地址。

一旦攻击成功，它将下载zip archive，解压缩后运行一个名为“bitcoin.dll.”的jar文件；之后，新的bot开始扫描互联网上开放的RDP服务器，一旦发现新的IP，它将继续报告给C&C服务器，当达到80个RDP服务器后，C&C服务器将为新bot分配一组目标。在暴力攻击阶段，bot将不断从C&C服务器获得用户名和密码组合。

与此同时，安全研究人员在实验室环境下测试了bot，6小时后从C2服务器接收到210万个IP地址，其中有1596571个是唯一的。据了解，GoldBrute僵尸网络的目标是全球暴露在互联网上的RDP机器。