经过数月的警告,使用Microsoft的BlueKeep漏洞的首次成功攻击已经到来,但还没有达到预期的程度。
据微软去年5月透露,数百万Windows设备存在一个称为BlueKeep的严重可黑客攻击漏洞,该漏洞可以使自动蠕虫病毒在计算机之间传播恶意软件,这似乎只是一个时间问题,这才发动了全球性攻击。如预期的那样,BlueKeep活动终于开始了。但是到目前为止,它还没有达到最坏的情况。
安全研究人员发现了证据,证明其所谓的蜜罐(旨在帮助检测和分析恶意软件爆发的诱饵机器)已通过BlueKeep漏洞受到了破坏。Microsoft的远程桌面协议中的错误使黑客能够在未修补的计算机上完全执行远程代码。尽管以前仅在概念验证中加以利用,但它具有潜在的破坏性后果。2017年,另一款针对Windows计算机的蠕虫NotPetya勒索软件攻击在全球造成了超过100亿美元的损失。
但是到目前为止,广泛的BlueKeep黑客行为仅安装了一种加密货币矿工,从而释放了受害者的处理能力来生成加密货币。这些攻击者似乎没有在蠕虫的帮助下从一台计算机跳到另一台计算机,而是在互联网上扫描了容易受到攻击的计算机。这使得当前的浪潮不太可能导致流行病。
安全公司Kryptos Logic的恶意软件研究员Marcus Hutchins说:“ BlueKeep已经存在了一段时间。但这是我第一次看到它被大规模使用。”建立BlueKeep漏洞的有效概念验证。“他们不是在寻找目标。他们是在扫描互联网并喷射攻击。”
哈钦斯说,他是首先从安全研究员凯文·博蒙特(Kevin Beaumont)那里了解到BlueKeep黑客攻击的爆发的,他观察了过去几天他的蜜罐机崩溃的情况。由于这些设备仅将端口3389暴露给Internet(RDP使用的端口),因此他很快怀疑BlueKeep。然后,博蒙特与哈钦斯共享了一个“崩溃转储”,即来自那些崩溃机器的取证数据,哈钦斯证实了BlueKeep是原因,并且黑客打算在受害机器上安装一个加密货币矿工,这在Kryptos的博客文章中有详细介绍。逻辑。哈钦斯说,他尚未确定他们想开采哪种硬币,并指出目标机器崩溃的事实表明该漏洞利用可能不可靠。Hutchins说,该恶意软件的作者似乎正在使用一种版本的BlueKeep黑客技术,该技术已包含在开源黑客和渗透测试框架Metasploit中。
目前尚不清楚有多少设备受到了影响,尽管当前的BlueKeep爆发似乎与许多人担心的RDP大流行相去甚远。安全公司Rendition Infosec的创始人杰克·威廉姆斯(Jake Williams)说:“我看到的是蠕虫病毒的数量激增,但没有达到我期望的水平。”他一直在监视其客户的网络是否存在被利用的迹象。“它尚未达到临界点。”
实际上,威廉姆斯认为,到目前为止,没有出现更严重的BlueKeep黑客浪潮,实际上可能表明微软对BlueKeep错误的响应取得了成功-这是意外的幸福结局。威廉姆斯说:“每个月都没有蠕虫的发生,有更多的人在打补丁,脆弱的人口也减少了。” “自从Metasploit模块已经推出了几个月以来,没有人蠕虫化这一事实似乎表明已经进行了成本效益分析,而对其进行武器装备也没有太大的好处。”
但是,BlueKeep对数十万台Windows机器造成的威胁尚未消除。根据安全研究人员和Errata Security的创始人Rob Graham的一项互联网扫描,大约735,000台Windows计算机仍然容易受到BlueKeep的攻击,他于8月与WIRED分享了这些数字。而且,这些计算机仍然可能受到利用微软挥之不去的RDP漏洞的更严重,更致命的恶意软件标本的攻击。这可能采用NotPetya或WannaCry的勒索软件蠕虫的形式,该蠕虫在2017年5月传播时感染了近25万台计算机,造成了4至80亿美元的损失。
同时,当前大量的BlueKeep加密货币挖掘将使那些不幸的人感到烦恼,这些不幸的不幸使他们的计算机因其加密货币挖掘而崩溃或被劫持,至多是模糊的预兆,预示着更严重的攻击即将到来。Hutchins说:“ BlueKeep漏洞利用非常适合从中挖掘更多的系统。” “不一定在某个时候会影响某人是否仍然制造勒索软件蠕虫。” 如果帮助黑客挖掘一些加密货币是BlueKeep最终造成的最糟糕的后果,换句话说,互联网将躲过一劫。