近期,有研究人員發(fā)現(xiàn),windows遠(yuǎn)程桌面服務(wù)中的BlueKeep遠(yuǎn)程代碼執(zhí)行漏洞已在公網(wǎng)中大量利用,目的是往脆弱的服務(wù)器中植入挖礦軟件。
安全人員表示這是通過(guò)針對(duì)遠(yuǎn)程桌面服務(wù)的蜜罐(故意將3389端口暴露在公網(wǎng))發(fā)現(xiàn)的。
非蠕蟲(chóng)傳播
安全研究員Kevin Beaumont在周六注意到,他的EternalPot RDP蜜罐網(wǎng)絡(luò)中的多個(gè)蜜罐發(fā)生崩潰并重啟。在近半年的時(shí)間里,這是第一次發(fā)生這種大面積蜜罐重啟的情況。值得一提的是,位于澳大利亞的蜜罐并無(wú)異常。
隨后Beaumont把崩潰時(shí)的機(jī)器信息發(fā)送給了MalwareTech,一起協(xié)同調(diào)查。最終MalwareTech表示,在內(nèi)存和shellcode中找到了BlueKeep以及一個(gè)挖礦軟件的蹤跡。
根據(jù)MalwareTech的初步分析,初步payload會(huì)運(yùn)行一個(gè)經(jīng)過(guò)混淆的PowerShell命令,去下載第二個(gè)也被混淆的PowerShell腳本。而最后的payload是一個(gè)挖礦軟件,貌似和Monero有關(guān)。目前VirtusTotal上的70個(gè)反病毒引擎中大約有一半能檢測(cè)出它的惡意性。
在接受BleepingComputer采訪時(shí),研究人員表示,此次攻擊并不具備很強(qiáng)的感染性,攻擊者可能只是使用某些服務(wù)器對(duì)公網(wǎng)上的所有開(kāi)啟了3389的服務(wù)器進(jìn)行漏洞掃描,并沒(méi)有瞄準(zhǔn)內(nèi)網(wǎng)。
MalwareTech也在后續(xù)表示,對(duì)網(wǎng)絡(luò)流量的分析表明它并不是感染傳播的,應(yīng)該是攻擊者的服務(wù)器對(duì)所有目標(biāo)逐一攻擊。
第一個(gè)公開(kāi)的BlueKeep漏洞利用模塊是metasploit于9月份添加的,不過(guò)在那之前網(wǎng)絡(luò)上已有大量針對(duì)這個(gè)漏洞的掃描器。MalwareTech經(jīng)過(guò)分析發(fā)現(xiàn),metasploit模塊中的代碼也出現(xiàn)在這次網(wǎng)絡(luò)攻擊中。
此次安全事件說(shuō)明,目前BlueKeep漏洞的利用還沒(méi)有實(shí)現(xiàn)規(guī)模化、可靠化和深入化。對(duì)于攻擊者來(lái)說(shuō),可能還有很長(zhǎng)的路要走。
今年7月,在一款名為Watchbog的惡意軟件中,就出現(xiàn)了挖礦軟件和BlueKeep漏洞的組合攻擊手段。該惡意軟件此前一般針對(duì)有漏洞的linux服務(wù)器。
當(dāng)時(shí),網(wǎng)絡(luò)安全公司Intezer表示,將RDP漏洞的掃描模塊與Linux漏洞整合在一起,表明WatchBog正在擴(kuò)大攻擊面,有可能是為了出售給第三方牟利。
不過(guò)MalwareTech表示,Watchbog工具與當(dāng)前的BlueKeep攻擊并無(wú)關(guān)聯(lián)。
Beaumont的蜜罐一共監(jiān)測(cè)到超過(guò)2600萬(wàn)個(gè)攻擊事件,所以研究人員還需要大量的時(shí)間去提煉數(shù)據(jù)。
BlueKeep歷史
BlueKeep(CVE-2019-0708)是一個(gè)存在于遠(yuǎn)程桌面的高危漏洞。微軟在5月14日進(jìn)行了修補(bǔ),隨后大量政府和安全公司就其嚴(yán)重性發(fā)出了一連串警告。
不過(guò)利用這個(gè)漏洞直接進(jìn)行遠(yuǎn)程命令執(zhí)行并不容易,而且很容易使目標(biāo)系統(tǒng)崩潰。目前,該漏洞的所有細(xì)節(jié)尚未完全公開(kāi),以方便管理員對(duì)機(jī)器進(jìn)行修復(fù)。
在6月和7月份,分別有metasploit和CANVAS的BlueKeep漏洞利用模塊出現(xiàn),不過(guò)尚未大規(guī)模傳播。因?yàn)榍罢呶赐耆_(kāi),而后者需要32480美元。
據(jù)統(tǒng)計(jì),6月份全球企業(yè)服務(wù)器的更新率已達(dá)到83%。不過(guò)這個(gè)統(tǒng)計(jì)數(shù)據(jù)并不包括普通消費(fèi)者的電腦。
該漏洞不會(huì)影響所有版本的Windows操作系統(tǒng),據(jù)微軟的說(shuō)法,只和Windows 7、Windows Server 2008 R2和Windows Server 2008有關(guān)。
本文由白帽匯整理并翻譯,不代表白帽匯任何觀點(diǎn)和立場(chǎng)
來(lái)源:https://nosec.org/home/detail/3124.html
原文:https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/
