Windows遠(yuǎn)程桌面服務(wù)中的BlueKeep遠(yuǎn)程執(zhí)行代碼漏洞目前已被廣泛利用�����。暴露在網(wǎng)上的易受攻擊的機(jī)器顯然已出于加密貨幣挖掘的目的而受到損害�����。
蜜罐僅記錄了嘗試公開通過遠(yuǎn)程桌面協(xié)議(RDP)進(jìn)行的遠(yuǎn)程協(xié)助連接的端口3389的嘗試���。
攻擊不可蠕蟲
安全研究員Kevin Beaumont周六注意到�����,他的EternalPot RDP蜜罐網(wǎng)絡(luò)中的多個(gè)蜜罐開始崩潰并重新啟動(dòng)�����。他們已經(jīng)活躍了將近半年�����,這是他們第一次來���。研究人員在一條推文中指出,由于某種原因�����,澳大利亞的機(jī)器并未崩潰�����。
關(guān)于BlueKeep成為這些事件的起因的第一個(gè)細(xì)節(jié)來自MalwareTech��,他研究了Beaumont機(jī)器中的崩潰轉(zhuǎn)儲(chǔ)��。他說����,他“在內(nèi)存和shellcode中找到了BlueKeep工件,以刪除Monero Miner”��。
根據(jù)MalwareTech的早期分析���,初始有效負(fù)載運(yùn)行一個(gè)已編碼的PowerShell命令�,該命令將下載另一個(gè)已編碼的PowerShell腳本�����。研究人員說�����,最終的有效負(fù)載是一個(gè)加密貨幣礦工��,很可能適用于Monero����,目前在VirtusTotal掃描平臺(tái)上的68個(gè)防病毒引擎中有25個(gè)被檢測到���。
在與BleepingComputer交談時(shí),研究人員說���,該惡意軟件可能不是蠕蟲�,但正在大規(guī)模利用BlueKeep錯(cuò)誤���。這表明網(wǎng)絡(luò)罪犯正在使用BlueKeep掃描程序來查找暴露在Web上的易受攻擊的系統(tǒng)����,并在其上丟棄加密貨幣礦工���。
在更新中,MalwareTech表示���,對(duì)網(wǎng)絡(luò)流量的分析并不表示自我傳播����,這意味著進(jìn)行利用的服務(wù)器會(huì)從預(yù)定義的列表中獲取目標(biāo)IP地址�����。
9月���,第一個(gè)公開的BlueKeep漏洞被添加到了Metasploit中����,但是在該日期之前已經(jīng)可以使用該漏洞的掃描程序���。MalwareTech的分析確認(rèn)���,該惡意軟件中也存在Metasploit模塊中的相同代碼。
博蒙特的蜜罐崩潰證明�����,這些攻擊背后的任何人都有可能正在使用公共資源��,并且沒有形成可靠的����,可蠕動(dòng)的威脅�。
據(jù)報(bào)道�,7月,一種名為Watchbog的惡意軟件將加密貨幣礦工和BlueKeep掃描儀結(jié)合在一起���,該惡意軟件通常針對(duì)易受攻擊的Linux服務(wù)器���。
當(dāng)時(shí),網(wǎng)絡(luò)安全公司Intezer表示�,將針對(duì)RDP漏洞的掃描器模塊與Linux漏洞進(jìn)行集成“表明WatchBog正在準(zhǔn)備一系列有漏洞的系統(tǒng),以供將來定位或出售給第三方供應(yīng)商以獲取利潤����!
MalwareTech告訴我們���,為Watchbog提供的Intezer危害指標(biāo)似乎與當(dāng)前攻擊易受BlueKeep攻擊的計(jì)算機(jī)的惡意軟件不匹配。
這些攻擊在Beaumont的蜜罐基礎(chǔ)設(shè)施上產(chǎn)生了超過2600萬起事件�,這使得確定危害的指標(biāo)更加耗時(shí)。但是�,研究人員答應(yīng)對(duì)它們進(jìn)行排序以找到相關(guān)序列并提供數(shù)據(jù)。
簡短的BlueKeep歷史
BlueKeep(CVE-2019-0708)是一個(gè)嚴(yán)重的漏洞����,可以允許惡意軟件在連接的系統(tǒng)中傳播�����,而無需用戶干預(yù)�。微軟在5月14日對(duì)其進(jìn)行了修補(bǔ)����,隨后,來自政府和安全公司的大量警報(bào)對(duì)其進(jìn)行了警告�����,其中一些人重申了他們的關(guān)注�。
利用此RDP缺陷進(jìn)行遠(yuǎn)程代碼執(zhí)行(RCE)并不容易,并且這種嘗試的最常見結(jié)果是目標(biāo)系統(tǒng)崩潰�。創(chuàng)建工作漏洞的安全研究人員將細(xì)節(jié)保密, 以延遲攻擊者創(chuàng)建其版本并破壞仍未打補(bǔ)丁的系統(tǒng)�。
分別在6月和7月開發(fā)了兩個(gè)私有漏洞利用模塊,用于Metasploit 和CANVAS 滲透測試工具����。兩者都很難獲得,因?yàn)榍罢呤撬饺说��,而后者則交付給了至少支付32,480美元的訂戶。
在企業(yè)級(jí)別����,6月份的全球更新率為83%。但是����,此統(tǒng)計(jì)數(shù)據(jù)不包括消費(fèi)類計(jì)算機(jī)。這表明網(wǎng)絡(luò)犯罪分子可能正在打擊消費(fèi)計(jì)算機(jī)����。
該漏洞并不影響Windows操作系統(tǒng)的所有版本。Microsoft的通報(bào)列出了Windows 7���,Windows Server 2008 R2和Windows Server 2008���。
更新[11/03/2019]: 文章已更新,其中包含來自MalwareTech 在Kryptos Logic博客上對(duì)惡意軟件進(jìn)行分析的信息�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
