非蠕蟲傳播

安全研究員Kevin Beaumont在周六注意到，他的EternalPot RDP蜜罐網絡中的多個蜜罐發生崩潰并重啟。在近半年的時間里，這是第一次發生這種大面積蜜罐重啟的情況。值得一提的是，位于澳大利亞的蜜罐并無異常。

隨后Beaumont把崩潰時的機器信息發送給了MalwareTech，一起協同調查。最終MalwareTech表示，在內存和shellcode中找到了BlueKeep以及一個挖礦軟件的蹤跡。

根據MalwareTech的初步分析，初步payload會運行一個經過混淆的PowerShell命令，去下載第二個也被混淆的PowerShell腳本。而最后的payload是一個挖礦軟件，貌似和Monero有關。目前VirtusTotal上的70個反病毒引擎中大約有一半能檢測出它的惡意性。

在接受BleepingComputer采訪時，研究人員表示，此次攻擊并不具備很強的感染性，攻擊者可能只是使用某些服務器對公網上的所有開啟了3389的服務器進行漏洞掃描，并沒有瞄準內網。

MalwareTech也在后續表示，對網絡流量的分析表明它并不是感染傳播的，應該是攻擊者的服務器對所有目標逐一攻擊。

第一個公開的BlueKeep漏洞利用模塊是metasploit于9月份添加的，不過在那之前網絡上已有大量針對這個漏洞的掃描器。MalwareTech經過分析發現，metasploit模塊中的代碼也出現在這次網絡攻擊中。

此次安全事件說明，目前BlueKeep漏洞的利用還沒有實現規模化、可靠化和深入化。對于攻擊者來說，可能還有很長的路要走。

今年7月，在一款名為Watchbog的惡意軟件中，就出現了挖礦軟件和BlueKeep漏洞的組合攻擊手段。該惡意軟件此前一般針對有漏洞的linux服務器。

當時，網絡安全公司Intezer表示，將RDP漏洞的掃描模塊與Linux漏洞整合在一起，表明WatchBog正在擴大攻擊面，有可能是為了出售給第三方牟利。

不過MalwareTech表示，Watchbog工具與當前的BlueKeep攻擊并無關聯。

Beaumont的蜜罐一共監測到超過2600萬個攻擊事件，所以研究人員還需要大量的時間去提煉數據。

BlueKeep歷史

BlueKeep（CVE-2019-0708）是一個存在于遠程桌面的高危漏洞。微軟在5月14日進行了修補，隨后大量政府和安全公司就其嚴重性發出了一連串警告。

不過利用這個漏洞直接進行遠程命令執行并不容易，而且很容易使目標系統崩潰。目前，該漏洞的所有細節尚未完全公開，以方便管理員對機器進行修復。

在6月和7月份，分別有metasploit和CANVAS的BlueKeep漏洞利用模塊出現，不過尚未大規模傳播。因為前者未完全公開，而后者需要32480美元。

據統計，6月份全球企業服務器的更新率已達到83%。不過這個統計數據并不包括普通消費者的電腦。

該漏洞不會影響所有版本的Windows操作系統，據微軟的說法，只和Windows 7、Windows Server 2008 R2和Windows Server 2008有關。

本文由白帽匯整理并翻譯，不代表白帽匯任何觀點和立場

來源：https://nosec.org/home/detail/3124.html

原文：https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/