BlueKeep已被大规模利用于植入挖矿软件 – 作者:白帽汇

22.png

近期,有研究人员发现,Windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用,目的是往脆弱的服务器中植入挖矿软件。

安全人员表示这是通过针对远程桌面服务的蜜罐(故意将3389端口暴露在公网)发现的。

非蠕虫传播

安全研究员Kevin Beaumont在周六注意到,他的EternalPot RDP蜜罐网络中的多个蜜罐发生崩溃并重启。在近半年的时间里,这是第一次发生这种大面积蜜罐重启的情况。值得一提的是,位于澳大利亚的蜜罐并无异常。

33.png

随后Beaumont把崩溃时的机器信息发送给了MalwareTech,一起协同调查。最终MalwareTech表示,在内存和shellcode中找到了BlueKeep以及一个挖矿软件的踪迹。

44.png

根据MalwareTech的初步分析,初步payload会运行一个经过混淆的PowerShell命令,去下载第二个也被混淆的PowerShell脚本。而最后的payload是一个挖矿软件,貌似和Monero有关。目前VirtusTotal上的70个反病毒引擎中大约有一半能检测出它的恶意性。

55.png

在接受BleepingComputer采访时,研究人员表示,此次攻击并不具备很强的感染性,攻击者可能只是使用某些服务器对公网上的所有开启了3389的服务器进行漏洞扫描,并没有瞄准内网。

MalwareTech也在后续表示,对网络流量的分析表明它并不是感染传播的,应该是攻击者的服务器对所有目标逐一攻击。

66.png

第一个公开的BlueKeep漏洞利用模块是metasploit于9月份添加的,不过在那之前网络上已有大量针对这个漏洞的扫描器。MalwareTech经过分析发现,metasploit模块中的代码也出现在这次网络攻击中。

77.png

此次安全事件说明,目前BlueKeep漏洞的利用还没有实现规模化、可靠化和深入化。对于攻击者来说,可能还有很长的路要走。

今年7月,在一款名为Watchbog的恶意软件中,就出现了挖矿软件和BlueKeep漏洞的组合攻击手段。该恶意软件此前一般针对有漏洞的Linux服务器。

当时,网络安全公司Intezer表示,将RDP漏洞的扫描模块与Linux漏洞整合在一起,表明WatchBog正在扩大攻击面,有可能是为了出售给第三方牟利。

不过MalwareTech表示,Watchbog工具与当前的BlueKeep攻击并无关联。

Beaumont的蜜罐一共监测到超过2600万个攻击事件,所以研究人员还需要大量的时间去提炼数据。

77.jpg

BlueKeep历史

BlueKeep(CVE-2019-0708)是一个存在于远程桌面的高危漏洞。微软在5月14日进行了修补,随后大量政府和安全公司就其严重性发出了一连串警告。

不过利用这个漏洞直接进行远程命令执行并不容易,而且很容易使目标系统崩溃。目前,该漏洞的所有细节尚未完全公开,以方便管理员对机器进行修复。

在6月和7月份,分别有metasploitCANVAS的BlueKeep漏洞利用模块出现,不过尚未大规模传播。因为前者未完全公开,而后者需要32480美元。

据统计,6月份全球企业服务器的更新率已达到83%。不过这个统计数据并不包括普通消费者的电脑。

该漏洞不会影响所有版本的Windows操作系统,据微软的说法,只和Windows 7、Windows Server 2008 R2和Windows Server 2008有关。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3124.html
来源:https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/

来源:freebuf.com 2019-11-04 17:03:14 by: 白帽汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论