您当前的位置:首页 > 电脑百科 > 安全防护 > 木马

BlueKeep已被大规模利用于植入挖矿软件

时间:2019-11-06 09:14:32  来源:  作者:

近期,有研究人员发现,windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用,目的是往脆弱的服务器中植入挖矿软件。

安全人员表示这是通过针对远程桌面服务的蜜罐(故意将3389端口暴露在公网)发现的。

非蠕虫传播

安全研究员Kevin Beaumont在周六注意到,他的EternalPot RDP蜜罐网络中的多个蜜罐发生崩溃并重启。在近半年的时间里,这是第一次发生这种大面积蜜罐重启的情况。值得一提的是,位于澳大利亚的蜜罐并无异常。

BlueKeep已被大规模利用于植入挖矿软件

 


随后Beaumont把崩溃时的机器信息发送给了MalwareTech,一起协同调查。最终MalwareTech表示,在内存和shellcode中找到了BlueKeep以及一个挖矿软件的踪迹。

BlueKeep已被大规模利用于植入挖矿软件

 


根据MalwareTech的初步分析,初步payload会运行一个经过混淆的PowerShell命令,去下载第二个也被混淆的PowerShell脚本。而最后的payload是一个挖矿软件,貌似和Monero有关。目前VirtusTotal上的70个反病毒引擎中大约有一半能检测出它的恶意性。

BlueKeep已被大规模利用于植入挖矿软件

 


在接受BleepingComputer采访时,研究人员表示,此次攻击并不具备很强的感染性,攻击者可能只是使用某些服务器对公网上的所有开启了3389的服务器进行漏洞扫描,并没有瞄准内网。

MalwareTech也在后续表示,对网络流量的分析表明它并不是感染传播的,应该是攻击者的服务器对所有目标逐一攻击。

BlueKeep已被大规模利用于植入挖矿软件

 


第一个公开的BlueKeep漏洞利用模块是metasploit于9月份添加的,不过在那之前网络上已有大量针对这个漏洞的扫描器。MalwareTech经过分析发现,metasploit模块中的代码也出现在这次网络攻击中。

BlueKeep已被大规模利用于植入挖矿软件

 


此次安全事件说明,目前BlueKeep漏洞的利用还没有实现规模化、可靠化和深入化。对于攻击者来说,可能还有很长的路要走。

今年7月,在一款名为Watchbog的恶意软件中,就出现了挖矿软件和BlueKeep漏洞的组合攻击手段。该恶意软件此前一般针对有漏洞的linux服务器。

当时,网络安全公司Intezer表示,将RDP漏洞的扫描模块与Linux漏洞整合在一起,表明WatchBog正在扩大攻击面,有可能是为了出售给第三方牟利。

不过MalwareTech表示,Watchbog工具与当前的BlueKeep攻击并无关联。

Beaumont的蜜罐一共监测到超过2600万个攻击事件,所以研究人员还需要大量的时间去提炼数据。

BlueKeep已被大规模利用于植入挖矿软件

 

BlueKeep历史

BlueKeep(CVE-2019-0708)是一个存在于远程桌面的高危漏洞。微软在5月14日进行了修补,随后大量政府和安全公司就其严重性发出了一连串警告。

不过利用这个漏洞直接进行远程命令执行并不容易,而且很容易使目标系统崩溃。目前,该漏洞的所有细节尚未完全公开,以方便管理员对机器进行修复。

在6月和7月份,分别有metasploit和CANVAS的BlueKeep漏洞利用模块出现,不过尚未大规模传播。因为前者未完全公开,而后者需要32480美元。

据统计,6月份全球企业服务器的更新率已达到83%。不过这个统计数据并不包括普通消费者的电脑。

该漏洞不会影响所有版本的Windows操作系统,据微软的说法,只和Windows 7、Windows Server 2008 R2和Windows Server 2008有关。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场

来源:https://nosec.org/home/detail/3124.html

原文:https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/



Tags:BlueKeep   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
近期,有研究人员发现,Windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用,目的是往脆弱的服务器中植入挖矿软件。安全人员表示这是通过针对远程桌面服务的蜜...【详细内容】
2019-11-06  Tags: BlueKeep  点击:(191)  评论:(0)  加入收藏
行业专家警告说,目前利用BlueKeep漏洞的攻击仍在持续,全球各地至少有上百万台计算机可能受到攻击。今年5月,微软公司披露了一个严重的安全漏洞,该漏洞影响了个人电脑和服务器的...【详细内容】
2019-07-22  Tags: BlueKeep  点击:(312)  评论:(0)  加入收藏
▌简易百科推荐
log4j漏洞的形成原因已经有很多分析文章了,这里说一说我是如何在了解到有漏洞后,跟进漏洞产生原理的,以及发现的一些绕WAF tips跟进漏洞产生原因的思路如何发现漏洞产生的原因...【详细内容】
2021-12-22  IT野涵    Tags:og4j漏洞   点击:(8)  评论:(0)  加入收藏
新型Android恶意木马程序伪装成数十款街机、射击和策略游戏,通过华为应用市场AppGallery进行分发,从而窃取设备信息和用户的手机号码,全球目前至少有930万台Android设备被该恶...【详细内容】
2021-12-01  极牛网    Tags:恶意木马   点击:(24)  评论:(0)  加入收藏
导读:在日常电脑使用中,很多小伙伴都会从互联网下载网站或是QQ、微信等聊天软件中进行传输安装软件、文件等。略知网络安全的朋友们都会比较谨慎所安装的软件是否安全,比如说通...【详细内容】
2021-09-10  极客小君    Tags:木马   点击:(58)  评论:(0)  加入收藏
编程语言: Nodejs知识要点: 文件的16进制解析木马我们见得多, 以前多数会以EXE可执行文件形式出现后来, 开始在Web上出现, 主要侵扰Web页面, 给正常的HTML/ASP等加上木马代...【详细内容】
2021-08-04  代码大叔    Tags:特洛伊木马   点击:(69)  评论:(0)  加入收藏
恶意代码的分类包括计算机病毒、蠕虫、木马、后门、Rootkit、流氓软件、间谍软件、广告软件、僵尸(bot) 、Exploit等等,有些技术经常用到,有的也是必然用到。恶意代码常见功能...【详细内容】
2020-12-14      Tags:恶意代码   点击:(131)  评论:(0)  加入收藏
近日,公安部网安局微信公众号发布了一则重要提醒:警惕身边的共享充电宝陷阱。警方表示,我们常使用的共享充电宝可能被植入木马程序,一旦插入手机,可能就会盗取个人信息。360网络...【详细内容】
2020-12-08      Tags:木马   点击:(144)  评论:(0)  加入收藏
前言这次检查并不是帮我,而是帮一位粉丝。当时私聊我的时候我还挺高兴的,至少得到了认可。 这次文章我也征求了他的同意才发出来的。也请别说我侵犯他人隐私。 过程早上醒...【详细内容】
2020-08-31      Tags:程序后门   点击:(149)  评论:(0)  加入收藏
本周初的时候,忽然发现部门服务器C盘动不动就满了,导致应用程序全都停止响应了。当时很是奇怪,C盘剩余的十几个G不应该在两天之内就被占满了呀。怀疑归怀疑,因为太忙,就没太管。...【详细内容】
2020-07-19      Tags:木马   点击:(97)  评论:(0)  加入收藏
能直接从账户盗走钱财的银行木马,一直被称为是恶意软件中最邪恶的一种。近日,360安全大脑独家发布《深度揭露Anubis移动银行木马》报告,全面披露了近期瞄准全球300多国家银行...【详细内容】
2020-04-24      Tags:木马突袭   点击:(130)  评论:(0)  加入收藏
相信大家都有这么一个经历,我们使用电脑,在某些来历不明的网站上下载一些程序,然后打开这些程序的时候,可能会出现以下的情况。 嗯没错,你电脑中的杀毒软件会给你发出温馨的提示,...【详细内容】
2020-04-07      Tags:木马病毒   点击:(169)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条