用户
搜索
  • TA的每日心情
    擦汗
    2019-1-31 10:58
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    官方账号

    Rank: 7Rank: 7Rank: 7

    155

    主题

    155

    帖子

    1498

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2018-12-21

    i春秋认证

    发表于 2019-11-4 16:55:31 0634

    22.png

    近期,有研究人员发现,Windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用,目的是往脆弱的服务器中植入挖矿软件。

    安全人员表示这是通过针对远程桌面服务的蜜罐(故意将3389端口暴露在公网)发现的。

    非蠕虫传播

    安全研究员Kevin Beaumont在周六注意到,他的EternalPot RDP蜜罐网络中的多个蜜罐发生崩溃并重启。在近半年的时间里,这是第一次发生这种大面积蜜罐重启的情况。值得一提的是,位于澳大利亚的蜜罐并无异常。

    33.png

    随后Beaumont把崩溃时的机器信息发送给了MalwareTech,一起协同调查。最终MalwareTech表示,在内存和shellcode中找到了BlueKeep以及一个挖矿软件的踪迹。

    44.png

    根据MalwareTech的初步分析,初步payload会运行一个经过混淆的PowerShell命令,去下载第二个也被混淆的PowerShell脚本。而最后的payload是一个挖矿软件,貌似和Monero有关。目前VirtusTotal上的70个反病毒引擎中大约有一半能检测出它的恶意性。

    55.png

    在接受BleepingComputer采访时,研究人员表示,此次攻击并不具备很强的感染性,攻击者可能只是使用某些服务器对公网上的所有开启了3389的服务器进行漏洞扫描,并没有瞄准内网。

    MalwareTech也在后续表示,对网络流量的分析表明它并不是感染传播的,应该是攻击者的服务器对所有目标逐一攻击。

    66.png

    第一个公开的BlueKeep漏洞利用[模块](https://www.bleepingcomputer.com/news/security/public-bluekeep-exploit-module-released-by-me tasploit/)是metasploit于9月份添加的,不过在那之前网络上已有大量针对这个漏洞的扫描器。MalwareTech经过分析发现,metasploit模块中的代码也出现在这次网络攻击中。

    77.png

    此次安全事件说明,目前BlueKeep漏洞的利用还没有实现规模化、可靠化和深入化。对于攻击者来说,可能还有很长的路要走。

    今年7月,在一款名为Watchbog的恶意软件中,就出现了挖矿软件和BlueKeep漏洞的组合攻击手段。该恶意软件此前一般针对有漏洞的Linux服务器。

    当时,网络安全公司Intezer表示,将RDP漏洞的扫描模块与Linux漏洞整合在一起,表明WatchBog正在扩大攻击面,有可能是为了出售给第三方牟利。

    不过MalwareTech表示,Watchbog工具与当前的BlueKeep攻击并无关联。

    Beaumont的蜜罐一共监测到超过2600万个攻击事件,所以研究人员还需要大量的时间去提炼数据。

    77.jpg

    BlueKeep历史

    BlueKeep(CVE-2019-0708)是一个存在于远程桌面的高危漏洞。微软在5月14日进行了修补,随后大量政府和安全公司就其严重性发出了一连串警告。

    不过利用这个漏洞直接进行远程命令执行并不容易,而且很容易使目标系统崩溃。目前,该漏洞的所有细节尚未完全公开,以方便管理员对机器进行修复。

    在6月和7月份,分别有metasploitCANVAS的BlueKeep漏洞利用模块出现,不过尚未大规模传播。因为前者未完全公开,而后者需要32480美元。

    据统计,6月份全球企业服务器的更新率已达到83%。不过这个统计数据并不包括普通消费者的电脑。

    该漏洞不会影响所有版本的Windows操作系统,据微软的说法,只和Windows 7、Windows Server 2008 R2和Windows Server 2008有关。

    本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3124.html
    来源:https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/
    
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册