Windows远程桌面服务中的BlueKeep远程执行代码漏洞目前已被广泛利用。暴露在网上的易受攻击的机器显然已出于加密货币挖掘的目的而受到损害。

蜜罐仅记录了尝试公开通过远程桌面协议（RDP）进行的远程协助连接的端口3389的尝试。

攻击不可蠕虫

安全研究员Kevin Beaumont周六注意到，他的EternalPot RDP蜜罐网络中的多个蜜罐开始崩溃并重新启动。他们已经活跃了将近半年，这是他们第一次来。研究人员在一条推文中指出，由于某种原因，澳大利亚的机器并未崩溃。

关于BlueKeep成为这些事件的起因的第一个细节来自MalwareTech，他研究了Beaumont机器中的崩溃转储。他说，他“在内存和shellcode中找到了BlueKeep工件，以删除Monero Miner”。

根据MalwareTech的早期分析，初始有效负载运行一个已编码的PowerShell命令，该命令将下载另一个已编码的PowerShell脚本。研究人员说，最终的有效负载是一个加密货币矿工，很可能适用于Monero，目前在VirtusTotal扫描平台上的68个防病毒引擎中有25个被检测到。

在与BleepingComputer交谈时，研究人员说，该恶意软件可能不是蠕虫，但正在大规模利用BlueKeep错误。这表明网络罪犯正在使用BlueKeep扫描程序来查找暴露在Web上的易受攻击的系统，并在其上丢弃加密货币矿工。

在更新中，MalwareTech表示，对网络流量的分析并不表示自我传播，这意味着进行利用的服务器会从预定义的列表中获取目标IP地址。

更新：根据netflow的说法，它似乎不是在自我传播，我假设有一组易受攻击的IP正在馈送到执行利用的服务器。

— MalwareTech（@MalwareTechBlog）2019年11月3日

9月，第一个公开的BlueKeep漏洞被添加到了Metasploit中，但是在该日期之前已经可以使用该漏洞的扫描程序。MalwareTech的分析确认，该恶意软件中也存在Metasploit模块中的相同代码。

博蒙特的蜜罐崩溃证明，这些攻击背后的任何人都有可能正在使用公共资源，并且没有形成可靠的，可蠕动的威胁。

据报道，7月，一种名为Watchbog的恶意软件将加密货币矿工和BlueKeep扫描仪结合在一起，该恶意软件通常针对易受攻击的Linux服务器。

当时，网络安全公司Intezer表示，将针对RDP漏洞的扫描器模块与Linux漏洞进行集成“表明WatchBog正在准备一系列有漏洞的系统，以供将来定位或出售给第三方供应商以获取利润。”

MalwareTech告诉我们，为Watchbog提供的Intezer危害指标似乎与当前攻击易受BlueKeep攻击的计算机的恶意软件不匹配。

这些攻击在Beaumont的蜜罐基础设施上产生了超过2600万起事件，这使得确定危害的指标更加耗时。但是，研究人员答应对它们进行排序以找到相关序列并提供数据。

简短的BlueKeep历史

BlueKeep（CVE-2019-0708）是一个严重的漏洞，可以允许恶意软件在连接的系统中传播，而无需用户干预。微软在5月14日对其进行了修补，随后，来自政府和安全公司的大量警报对其进行了警告，其中一些人重申了他们的关注。

利用此RDP缺陷进行远程代码执行（RCE）并不容易，并且这种尝试的最常见结果是目标系统崩溃。创建工作漏洞的安全研究人员将细节保密， ?以延迟攻击者创建其版本并破坏仍未打补丁的系统。

分别在6月和7月开发了两个私有漏洞利用模块，用于Metasploit ?和CANVAS ?渗透测试工具。两者都很难获得，因为前者是私人的，而后者则交付给了至少支付32,480美元的订户。

在企业级别，6月份的全球更新率为83％。但是，此统计数据不包括消费类计算机。这表明网络犯罪分子可能正在打击消费计算机。

该漏洞并不影响Windows操作系统的所有版本。Microsoft的通报列出了Windows 7，Windows Server 2008 R2和Windows Server 2008。

更新[11/03/2019]： 文章已更新，其中包含来自MalwareTech 在Kryptos Logic博客上对恶意软件进行分析的信息。