全球首個BlueKeep大規模黑客攻擊來襲！

網路安全研究人員發現了一種新的網路攻擊，這被認為是頭一次，但卻是業餘嘗試，它在野外以臭名昭著的BlueKeep RDP漏洞為武器，以大規模破壞易受攻擊的系統來進行加密貨幣挖掘。

紅數位製作配圖

今年5月，Microsoft 在其Windows遠端桌面服務中釋出了針對高度關鍵的遠端程式碼執行漏洞的補丁，稱為BlueKeep，可以通過僅通過RDP傳送經特殊設計的請求來對其進行遠端利用，以完全控制易受攻擊的系統。

BlueKeep跟蹤為CVE-2019-0708，是一個可感染蠕蟲的漏洞，因為它可以被潛在的惡意軟體武器化，以自動將自身從一臺易受攻擊的計算機傳播到另一臺計算機，而無需受害者進行互動。

自從發現BlueKeep以來，它就被認為是一種嚴重的威脅，以至於微軟甚至政府機構[ NSA和GCHQ ]都一直在鼓勵Windows使用者和管理員在黑客無法掌握其系統之前應用安全補丁。

甚至許多成功開發了BlueKeep漏洞利用程式的安全公司和個人網路安全研究人員也保證不會為了更大的利益而將其釋出給公眾，尤其是因為即使在釋出補丁程式一個月後，仍有近100萬個系統易受攻擊。

這就是為什麼業餘黑客花了近六個月的時間才開發出BlueKeep漏洞的方法，該漏洞仍然不可靠，甚至沒有可感染的元件。

一個黑客組織一直在使用Metasploit團隊在9月份釋出的演示BlueKeep漏洞，以入侵未打補丁的Windows系統並安裝加密貨幣礦工。

這場BlueKeep活動已經進行了將近兩個星期，但直到今天才被網路安全專家Kevin Beaumont發現。

這位英國安全專家說，他在幾個月前建立並忘記了的蜜罐記錄的日誌中發現了這些漏洞。博蒙特說：首次襲擊事件可追溯到10月23日。

安全研究員Marcus“ MalwareTech” Hutchins 證實了Beaumont的發現，他阻止了WannaCry勒索軟體的爆發，並且是BlueKeep漏洞利用的公認專家。

BlueKeep Exploit傳播加密貨幣惡意軟體

凱文·博蒙特（Kevin Beaumont）在週六 首次推測了他在野外對BlueKeep的開發，當時他的多個EternalPot RDP蜜罐系統崩潰並突然重啟。

研究人員馬庫斯·哈欽斯（Marcus Hutchins）幫助阻止了2017年WannaCry勒索軟體的爆發，然後分析了博蒙特共享的崩潰轉儲，並確認“記憶體和Shellcode中的BlueKeep工件丟棄了Monero Miner”。

Hutchins 在今天發表的部落格文章中說：“最後，我們確認[崩潰轉儲中的]此段指向可執行的shellcode。在這一點上，我們可以在野外斷言有效的BlueKeep漏洞利用嘗試，甚至可以與shellcode匹配。BlueKeep Metasploit模組中的shellcode！”

該漏洞利用包含編碼的PowerShell命令作為初始有效負載，然後最終從遠端攻擊者控制的伺服器下載最終的惡意可執行二進位制檔案並在目標系統上執行。

Bluekeep蠕蟲RDP漏洞

根據Google的VirusTotal惡意軟體掃描服務，惡意二進位制檔案是加密貨幣惡意軟體，它利用受感染系統的計算能力挖掘Monero（XMR），從而為攻擊者創造收入。

博蒙特發現的攻擊遠不及微軟在5月份所擔心的攻擊規模，當時微軟將BlueKeep比作EternalBlue，這是WannaCry，NotPetya和Bad Rabbit勒索軟體在2017年爆發的核心漏洞。

但是，最初的大規模黑客攻擊活動並未包括自我傳播的蠕蟲般的功能。取而代之的是，黑客似乎在搜尋Windows系統，並在Internet上暴露了RDP埠，並部署了BlueKeep Metasploit攻擊，後來又使用了加密貨幣礦工。

但是這些特定的BlueKeep攻擊似乎無效。博蒙特說，攻擊使他正在執行的11個蜜罐中的10個墜毀。

這表明攻擊者的利用程式碼無法按預期工作。

這與過去幾個月中大多數專家對BlueKeep所說的完全吻合。BlueKeep漏洞可能會帶來災難性的後果，但是要使漏洞無法正常工作，而又不會因藍屏當機（BSOD）錯誤導致作業系統崩潰而很難工作。

這些攻擊在Beaumont的蜜罐基礎設施上產生了超過2600萬起事件，這使得確定危害的指標更加耗時。但是，研究人員答應對它們進行排序以找到相關序列並提供資料。

資料來源：Kevin Beaumont

今天，我們從這個威脅參與者那裡看到的是第一個黑客組織，該組織正試圖在大規模行動中而不是在特定目標上為這種危險利用提供武器。

但是我們還意識到，其他黑客已將BlueKeep用於更具針對性的攻擊中，併成功使用了它。

在將來的某個時刻，一些低技能的威脅參與者將弄清楚如何正確執行BlueKeep，這就是我們將看到它得到更廣泛使用的時候。很有可能它仍將被用於挖掘加密貨幣-如今EternalBlue也經常使用該東西。

但這不是蠕蟲攻擊！暫無傳播性！

Hutchins還確認，通過BlueKeep漏洞傳播的惡意軟體不包含任何自動傳播功能，可以自動從一臺計算機跳到另一臺計算機。

取而代之的是，未知的攻擊者似乎首先在Internet上掃描以找到易受攻擊的系統，然後再利用它們。

換句話說，如果沒有可感染蠕蟲的元件，攻擊者將只能攻擊直接連線到Internet的易受攻擊的系統，而不能攻擊內部連線且可從其訪問的系統。

儘管經驗豐富的黑客可能已經在利用BlueKeep漏洞來隱祕地解決目標受害者，但幸運的是，該漏洞尚未得到更大規模的利用，例如WannaCry或NotPetya。最初推測的可蠕蟲攻擊。

但是，在撰寫本文時，目前尚不清楚在最新的網路攻擊中有多少BlueKeep易受攻擊的Windows系統受到了攻擊，以在野外部署Monero礦機。

VirusTotal將這個二進位制檔案的雜湊稱為加密貨幣礦工。

9月，針對Metasploit滲透測試框架釋出了第一個公開演示BlueKeep漏洞：

https://github.com/rapid7/metasploit-framework/pull/12283

它被髮布來幫助系統管理員測試易受攻擊的系統，但是它也可以被惡意參與者重新利用。自6月以來，由網路安全公司開發的其他數十種私人攻擊也已存在，但為了避免幫助攻擊者，將其保密。

如何保護自己？

讓我再試一次— 如果您是您的組織，或者您的組織仍在使用易受攻擊的BlueKeep Windows系統，請去修復該死的漏洞。

如果無法儘快修復組織中的漏洞，則可以採取以下緩解措施：

如果不需要，請禁用RDP服務。

使用防火牆阻止埠3389或使其只能通過專用VPN訪問。

啟用網路級別身份驗證（NLA）–這是部分緩解措施，以防止任何未經身份驗證的攻擊者利用此蠕蟲漏洞。

BLUEKEEP補丁資訊

BlueKeep是CVE-2019-0708的暱稱，CVE-2019-0708是Microsoft RDP（遠端桌面協議）服務中的漏洞。它僅影響：

Windows 7

Windows Server 2008

Windows Server 2008 R2

修補補丁自2019年5月中旬起可用。

下載點這裡-Microsoft官方通報：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

之前我們報導了：

中國美國仍是重災區，BlueKeep補丁修補進展太慢

想來十分後怕！

這不是演習！

速打補丁吧！

然後，祈禱！

簡短的BlueKeep歷史

BlueKeep（CVE-2019-0708）是一個嚴重的漏洞，可以允許惡意軟體在連線的系統中傳播，而無需使用者干預。微軟在5月14日對其進行了修補，隨後，來自政府和安全公司的大量警報對其進行了警告，其中一些人重申了他們的關注。

利用此RDP缺陷進行遠端程式碼執行（RCE）並不容易，並且這種嘗試的最常見結果是目標系統崩潰。建立工作漏洞的安全研究人員將細節保密，  以延遲攻擊者建立其版本並破壞仍未打補丁的系統。

分別在6月和7月開發了兩個私有漏洞利用模組，用於Metasploit  和CANVAS  滲透測試工具。兩者都很難獲得，因為前者是私人的，而後者則交付給了至少支付32,480美元的訂戶。

在企業級別，6月份的全球更新率為83％。但是，此統計資料不包括消費類計算機。這表明網路犯罪分子可能正在打擊消費計算機。

該漏洞並不影響Windows作業系統的所有版本。Microsoft的通報列出了Windows 7，Windows Server 2008 R2和Windows Server 2008。

微信搜尋關注：紅數位，閱讀更多