„BlueKeep“ atakų pasitaiko, bet tai nėra kirminas

Saugumo tyrinėtojai pastebėjo pirmąją masinio įsilaužimo kampaniją naudojant „BlueKeep“ išnaudojimą; tačiau išnaudojimas nėra naudojamas kaip savaime plintantis kirminas, nes „Microsoft“ bijojo, kad tai nutiks praėjusių metų gegužę, kai paskelbė siaubingą įspėjimą ir paragino vartotojus pataisyti.

Vietoj to naudojosi įsilaužėlių grupė demonstracinis BlueKeep išnaudojimas, kurį išleido Metasploit komanda dar rugsėjį įsilaužti į nepataisytas Windows sistemas ir įdiegti kriptovaliutų kasyklą.

Ši „BlueKeep“ kampanija plačiai vykdoma beveik dvi savaites, bet taip buvo pastebėta tik šiandien Kibernetinio saugumo ekspertas Kevinas Beaumontas.

Didžiosios Britanijos saugumo ekspertas sakė, kad išnaudojimus rado rąstuose, užfiksuotuose medaus puoduose, kuriuos jis pastatė prieš kelis mėnesius ir apie kuriuos pamiršo. Pirmieji išpuoliai datuojami spalio 23 d., sakė Beaumont ZDNet.

Beaumont atradimas buvo

patvirtino Marcusas „MalwareTech“ Hutchinsas, saugumo tyrinėtojas, sustabdęs WannaCry išpirkos programinės įrangos protrūkį ir pripažintas BlueKeep išnaudojimo ekspertas.

Beaumont aptiktos atakos nė iš tolo neprilygsta tokio masto atakoms, kurių „Microsoft“ bijojo dar gegužę, kai palygino „BlueKeep“ su „EternalBlue“, išnaudojimu, kuris buvo WannaCry, NotPetya ir Bad Rabbit išpirkos programų protrūkių pagrindas. 2017.

„Microsoft“ inžinieriai išsigando, kad „BlueKeep“ sukels dar vieną pasaulinį kenkėjiškų programų protrūkį, kuris plis savaime – nuo ​​nepataisytos sistemos iki nepataisytos sistemos.

Tačiau pasirodė, kad pirmoji masinio įsilaužimo operacija neapėmė savaime plintančių, į kirminus panašių galimybių. Atrodo, kad įsilaužėliai ieško „Windows“ sistemų, kurių RDP prievadai palikti internete, diegia „BlueKeep Metasploit“ išnaudojimą ir vėliau kriptovaliutų kasyklą.

Atnaujinimas: pagal „netflow“ neatrodo, kad jis savaime plinta, manau, kad pažeidžiamų IP sąrašas yra tiekiamas serveriui, kuris atlieka išnaudojimą.

– „MalwareTech“ (@MalwareTechBlog) 2019 m. lapkričio 3 d

Nemanau, kad ten yra kirminas (ar bent jau kažkas pakankamai blogo, kad jam rūpėtų). Pagaliau tikrai yra bendras išnaudojimas.

- Kevinas Beaumontas (@GossiTheDog) 2019 m. lapkričio 2 d

FWIW, re:#BlueKeep matome nedidelį 3389 susijusių srautų padidėjimą @RenditionSec SOC, bet nedera su kirminu. Spėčiau arba:
1. Tai ne kirminas
2. Pakankamai pataisyta mašinų arba išnaudojimas yra per nepatikimas, kad kirminas pasiektų kritinę masę

- Jake'as Williamsas (@MalwareJake) 2019 m. lapkričio 2 d

Tačiau atrodo, kad šios konkrečios „BlueKeep“ atakos neveikia. Beaumont papasakojo ZDNet kad per atakas sudužo 10 iš 11 jo valdomų medaus puodų.

Tai rodo, kad užpuoliko išnaudojimo kodas neveikia taip, kaip jie ketina.

Tai visiškai atitinka tai, ką dauguma ekspertų sakė apie „BlueKeep“ pastaruosius kelis mėnesius. „BlueKeep“ išnaudojimas gali turėti pražūtingų pasekmių, tačiau sunku pasiekti, kad išnaudojimas veiktų nesugriuvus OS su „Blue Screen of Death“ (BSOD) klaida.

Atrodo, kad asmuo / grupė, užėmusi naujausias atakas, neturi žinių, reikalingų modifikuoti „BlueKeep“ demonstracinį išnaudojimą, kurį Metasploit komanda išleido dar rugsėjį, o tai yra geras dalykas. Tačiau kai kurios jų atakos buvo sėkmingos.

Tai, ką šiandien matome iš šio grėsmės veikėjo, yra pirmoji programišių grupė, kuri bando panaudoti šį pavojingą išnaudojimą per operaciją dideliu mastu, o ne į konkretų taikinį.

Tačiau „ZDNet“ taip pat žino, kad kiti įsilaužėliai naudojo „BlueKeep“ tikslingesnėms atakoms ir sėkmingai jį panaudojo.

Vienu metu ateityje koks nors žemos kvalifikacijos grėsmių veikėjas išsiaiškins, kaip tinkamai paleisti „BlueKeep“, ir tada pamatysime, kad jis bus naudojamas plačiau. Tikėtina, kad ji vis tiek bus naudojama kriptovaliutai išgauti – tam pačiam dalykui, kuriam šiais laikais taip pat dažniausiai naudojamas EternalBlue.

BlueKeep pleistro informacija

BlueKeep yra slapyvardis, suteiktas CVE-2019-0708, Microsoft RDP (nuotolinio darbalaukio protokolo) tarnybos pažeidžiamumui. Tai turi įtakos tik:

• Windows 7
• Windows Server 2008 R2
• Windows Server 2008

Pleistrai buvo prieinami nuo 2019 m. gegužės vidurio. Žr. oficialų „Microsoft“ patarimą.

Pirmoji publika demo BlueKeep eksploatacija buvo išleistas Metasploit skverbties testavimo sistemai dar rugsėjį. Jis buvo išleistas siekiant padėti sistemos administratoriams išbandyti pažeidžiamas sistemas, tačiau piktybiniai veikėjai jį taip pat gali panaudoti iš naujo. Nuo birželio mėnesio egzistavo dešimtys kitų privačių išnaudojimų, kuriuos sukūrė kibernetinio saugumo įmonės, tačiau jie buvo laikomi privačiais, kad būtų išvengta pagalbos užpuolikams.

Nepaisant to, kad sistemoms pataisyti prireikė mėnesių, naujausias viešai prieinamų „Windows“ sistemų, kurios internete atskleidžia KPP galutinį tašką ir yra pažeidžiamos „BlueKeep“, skaičius yra apie 750 000. Šie nuskaitymai neapima sistemų, esančių privačiuose tinkluose, už ugniasienės.