近期,有研究人员发现,windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用,目的是往脆弱的服务器中植入挖矿软件。
安全人员表示这是通过针对远程桌面服务的蜜罐(故意将3389端口暴露在公网)发现的。
安全研究员Kevin Beaumont在周六注意到,他的EternalPot RDP蜜罐网络中的多个蜜罐发生崩溃并重启。在近半年的时间里,这是第一次发生这种大面积蜜罐重启的情况。值得一提的是,位于澳大利亚的蜜罐并无异常。
随后Beaumont把崩溃时的机器信息发送给了MalwareTech,一起协同调查。最终MalwareTech表示,在内存和shellcode中找到了BlueKeep以及一个挖矿软件的踪迹。
根据MalwareTech的初步分析,初步payload会运行一个经过混淆的PowerShell命令,去下载第二个也被混淆的PowerShell脚本。而最后的payload是一个挖矿软件,貌似和Monero有关。目前VirtusTotal上的70个反病毒引擎中大约有一半能检测出它的恶意性。
在接受BleepingComputer采访时,研究人员表示,此次攻击并不具备很强的感染性,攻击者可能只是使用某些服务器对公网上的所有开启了3389的服务器进行漏洞扫描,并没有瞄准内网。
MalwareTech也在后续表示,对网络流量的分析表明它并不是感染传播的,应该是攻击者的服务器对所有目标逐一攻击。
第一个公开的BlueKeep漏洞利用模块是metasploit于9月份添加的,不过在那之前网络上已有大量针对这个漏洞的扫描器。MalwareTech经过分析发现,metasploit模块中的代码也出现在这次网络攻击中。
此次安全事件说明,目前BlueKeep漏洞的利用还没有实现规模化、可靠化和深入化。对于攻击者来说,可能还有很长的路要走。
今年7月,在一款名为Watchbog的恶意软件中,就出现了挖矿软件和BlueKeep漏洞的组合攻击手段。该恶意软件此前一般针对有漏洞的linux服务器。
当时,网络安全公司Intezer表示,将RDP漏洞的扫描模块与Linux漏洞整合在一起,表明WatchBog正在扩大攻击面,有可能是为了出售给第三方牟利。
不过MalwareTech表示,Watchbog工具与当前的BlueKeep攻击并无关联。
Beaumont的蜜罐一共监测到超过2600万个攻击事件,所以研究人员还需要大量的时间去提炼数据。
BlueKeep(CVE-2019-0708)是一个存在于远程桌面的高危漏洞。微软在5月14日进行了修补,随后大量政府和安全公司就其严重性发出了一连串警告。
不过利用这个漏洞直接进行远程命令执行并不容易,而且很容易使目标系统崩溃。目前,该漏洞的所有细节尚未完全公开,以方便管理员对机器进行修复。
在6月和7月份,分别有metasploit和CANVAS的BlueKeep漏洞利用模块出现,不过尚未大规模传播。因为前者未完全公开,而后者需要32480美元。
据统计,6月份全球企业服务器的更新率已达到83%。不过这个统计数据并不包括普通消费者的电脑。
该漏洞不会影响所有版本的Windows操作系统,据微软的说法,只和Windows 7、Windows Server 2008 R2和Windows Server 2008有关。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://nosec.org/home/detail/3124.html
原文:https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/