Check Point Research 已经记录了基于 Go 语言的僵尸网络 GoBruteforcer 2025 版本的新变体。 该恶意软件针对全球的Linux服务器,并对FTP、MySQL、PostgreSQL和phpMyAdmin等公共互联网服务实施暴力破解攻击。
目前,约有570万台FTP服务器、223万台MySQL服务器和56万台PostgreSQL服务器作为默认端口暴露,且可能有超过5万台存在漏洞。 此次攻击的主要原因是大量重复使用AI生成的服务器配置示例,以及遗留网络栈如XAMPP的存续。 GoBruteforcer的凭证列表与约2.44%的1000万密码被泄露密码数据库重叠。
在2025年版本中,IRC机器人组件在Go中被完全重写,并在Garbler中被混淆处理。 研究人员还发现了一项针对加密货币的活动,从被攻破服务器中恢复了约23,000个TRON地址。
这次 GoBruteforcer 攻击显示了 AI 时代一种新的安全风险形式。 当大型语言模型(LLM)生成服务器配置示例时,通常推荐通用用户名,如“appuser”或“myuser”,使其成为攻击者的主要目标。
开发者依赖AI工具来提升效率,而这些工具生成的代码示例直接部署到生产环境中,这种组合带来了新的漏洞。
虽然蛮力攻击本身是经典技巧,但同样值得注意的是,它们依然出乎意料地有效。 在谷歌云2024年的报告中,47.2%的云环境入侵是由于凭证薄弱或缺失所致。 即使成功率仅为2.44%,全球有数百万台暴露服务器,这对攻击者来说仍是一个有利可图的估计。
特别令人关注的是开发环境中工具的生产使用。 像XAMPP这样的一体化开发栈因其易用性而受欢迎,但它们默认设置了FTP凭证,且FTP路由映射到可直接通过网页访问的路径。 该设计旨在开发过程中便利,不适用于生产环境。
2025年版的GoBruteforcer还带来了技术的成熟度。 规避检测的尝试,如完全切换到围棋语言、用Garbler混淆和进程名称伪装,随处可见。 此外,针对加密货币的活动还出现了从被攻破服务器中搜寻TRON和币安智能链钱包并窃取资产的运动。
反制措施的基本原理保持不变。 实施强密码政策,停止不必要的公共互联网服务,强制多因素认证(MFA),并监控异常登录尝试。 然而,在人工智能时代,我们还需要增加一个新原则:“不要无条件地将AI生成的代码部署到生产环境中。”
我认为是时候重新考虑技术演进带来的便利与随之而来的安全风险之间的平衡了。
安情视界——洞见未来,智掌先机,持续追踪全球安全动态,精准解读政策与事件,深度预测研判趋势,护航企业全球化征程。
企业级网络安全培训:提供网络安全意识(O)、网络安全专业技能(T)、网络安全领导力管理(M)、网络安全运维管理(P)、数据安全治理(D)、网络&数据安全攻防演练(N/D Attack/Defense Exercise)等系列培训服务。企业级数据安全治理:提供数据安全规划、数据安全评估、数据资产梳理、数据分类分级、数据安全规范编制、数据安全整改、渗透测试等系列服务。产品定制与集成服务:提供保密安全产品、终端/web安全产品、全流量威胁分析、大模型系统安全评估/AI靶场、数据安全管理、APP安全检查等系列产品,以及网络安全方案集成规划。联系我们:13301398120 010-64937155
10个月宝宝每天需要喝多少奶粉?
