近期，有研究人员发现，Windows远程桌面服务中的BlueKeep远程代码执行漏洞已在公网中大量利用，目的是往脆弱的服务器中植入挖矿软件。

安全人员表示这是通过针对远程桌面服务的蜜罐（故意将3389端口暴露在公网）发现的。

非蠕虫传播

安全研究员Kevin Beaumont在周六注意到，他的EternalPot RDP蜜罐网络中的多个蜜罐发生崩溃并重启。在近半年的时间里，这是第一次发生这种大面积蜜罐重启的情况。值得一提的是，位于澳大利亚的蜜罐并无异常。

随后Beaumont把崩溃时的机器信息发送给了MalwareTech，一起协同调查。最终MalwareTech表示，在内存和shellcode中找到了BlueKeep以及一个挖矿软件的踪迹。

根据MalwareTech的初步分析，初步payload会运行一个经过混淆的PowerShell命令，去下载第二个也被混淆的PowerShell脚本。而最后的payload是一个挖矿软件，貌似和Monero有关。目前VirtusTotal上的70个反病毒引擎中大约有一半能检测出它的恶意性。

在接受BleepingComputer采访时，研究人员表示，此次攻击并不具备很强的感染性，攻击者可能只是使用某些服务器对公网上的所有开启了3389的服务器进行漏洞扫描，并没有瞄准内网。

MalwareTech也在后续表示，对网络流量的分析表明它并不是感染传播的，应该是攻击者的服务器对所有目标逐一攻击。

第一个公开的BlueKeep漏洞利用模块是metasploit于9月份添加的，不过在那之前网络上已有大量针对这个漏洞的扫描器。MalwareTech经过分析发现，metasploit模块中的代码也出现在这次网络攻击中。

此次安全事件说明，目前BlueKeep漏洞的利用还没有实现规模化、可靠化和深入化。对于攻击者来说，可能还有很长的路要走。

今年7月，在一款名为Watchbog的恶意软件中，就出现了挖矿软件和BlueKeep漏洞的组合攻击手段。该恶意软件此前一般针对有漏洞的Linux服务器。

当时，网络安全公司Intezer表示，将RDP漏洞的扫描模块与Linux漏洞整合在一起，表明WatchBog正在扩大攻击面，有可能是为了出售给第三方牟利。

不过MalwareTech表示，Watchbog工具与当前的BlueKeep攻击并无关联。

Beaumont的蜜罐一共监测到超过2600万个攻击事件，所以研究人员还需要大量的时间去提炼数据。

BlueKeep历史

BlueKeep（CVE-2019-0708）是一个存在于远程桌面的高危漏洞。微软在5月14日进行了修补，随后大量政府和安全公司就其严重性发出了一连串警告。

不过利用这个漏洞直接进行远程命令执行并不容易，而且很容易使目标系统崩溃。目前，该漏洞的所有细节尚未完全公开，以方便管理员对机器进行修复。

在6月和7月份，分别有metasploit和CANVAS的BlueKeep漏洞利用模块出现，不过尚未大规模传播。因为前者未完全公开，而后者需要32480美元。

据统计，6月份全球企业服务器的更新率已达到83%。不过这个统计数据并不包括普通消费者的电脑。

该漏洞不会影响所有版本的Windows操作系统，据微软的说法，只和Windows 7、Windows Server 2008 R2和Windows Server 2008有关。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3124.html
来源：https://www.bleepingcomputer.com/news/security/windows-bluekeep-rdp-attacks-are-here-infecting-with-miners/