Em 2 de novembro de 2019, o pesquisador de segurança Kevin Beaumont relatou que seu honeypot BlueKeep sofreu falhas e provavelmente estava sendo explorado. Os pesquisadores de segurança da Microsoft colaboraram com Beaumont e outro pesquisador, Marcus Hutchins , para investigar e analisar as falhas e confirmar que elas foram causadas por um módulo de exploração BlueKeep para a estrutura de teste de penetração Metasploit.
BlueKeep é o que os pesquisadores e a mídia chamam de CVE-2019-0708 , uma vulnerabilidade de execução remota de código não autenticada nos Serviços de Área de Trabalho Remota no Windows 7, Windows Server 2008 e Windows Server 2008 R2. A Microsoft lançou uma correção de segurança para a vulnerabilidade em 14 de maio de 2019.
Embora vulnerabilidades semelhantes tenham sido abusadas por malware worm no passado, as tentativas iniciais de explorar essa vulnerabilidade envolveram operadores humanos com o objetivo de penetrar nas redes por meio de serviços RDP expostos.
A Microsoft já havia implantado uma detecção comportamental para o módulo BlueKeep Metasploit no início de setembro, para que os clientes do Microsoft Defender ATP tivessem proteção contra esse módulo Metasploit quando ele foi usado contra o honeypot de Beaumont. O módulo, que parece instável, como evidenciado por várias falhas relacionadas ao RDP observadas no honeypot, acionou a detecção comportamental no Microsoft Defender ATP, resultando na coleta de sinais críticos usados durante a investigação.
Os sinais de segurança da Microsoft mostraram um aumento nas falhas relacionadas ao RDP que provavelmente estão associadas ao uso do módulo instável BlueKeep Metasploit em certos conjuntos de máquinas vulneráveis. Nós vimos:
- Um aumento no serviço RDP falha de 10 para 100 diariamente a partir de 6 de setembro de 2019, quando o módulo Metasploit foi lançado
- Um aumento semelhante na corrupção de memória falha a partir de 9 de outubro de 2019
- Falhas nos honeypots de pesquisadores externos a partir de 23 de outubro de 2019
Figura 1. Aumento no serviço relacionado ao RDP falha quando o módulo Metasploit foi lançado
Campanha de minerador de moedas usando a exploração BlueKeep
Depois de extrair indicadores de comprometimento e girar para várias informações de sinais relacionadas, os pesquisadores de segurança da Microsoft descobriram que uma campanha anterior de mineração de moedas em setembro usou um implante principal que contatou a mesma infraestrutura de comando e controle usada durante a campanha BlueKeep Metasploit de outubro, que, em Nos casos em que a exploração não causou o travamento do sistema, também foi observado a instalação de um mineiro de moedas. Isso indicava que os mesmos atacantes provavelmente eram responsáveis pelas duas campanhas de mineração de moedas – eles estavam realizando ativamente ataques de mineradores de moedas e, eventualmente, incorporaram a exploração BlueKeep em seu arsenal.
Nossos modelos de aprendizado de máquina sinalizaram a presença da carga útil do minerador de moedas usada nesses ataques a máquinas na França, Rússia, Itália, Espanha, Ucrânia, Alemanha, Reino Unido e muitos outros países.
Figura 2. Distribuição geográfica dos encontros do mineiro de moedas
Esses ataques provavelmente foram iniciados como varreduras de portas em máquinas com serviços RDP vulneráveis à Internet. Depois que os invasores encontraram essas máquinas, eles usaram o módulo BlueKeep Metasploit para executar um script do PowerShell que finalmente baixou e lançou vários outros scripts do PowerShell codificados.
Figura 3. Técnicas e componentes usados nas tentativas iniciais de explorar o BlueKeep
Reunimos os comportamentos dos scripts do PowerShell usando principalmente despejos de memória. As seguintes atividades de script também foram discutidas em blogs de pesquisadores externos :
- O script inicial baixou outro script do PowerShell codificado de um servidor remoto controlado pelo invasor (5.135.199.19) hospedado em algum lugar da França pela porta 443.
- O script subsequente baixou e lançou uma série de três a quatro outros scripts do PowerShell codificados.
- O script final finalmente baixou a carga útil do mineiro de moedas de outro servidor controlado pelo invasor (109.176.117.11) hospedado na Grã-Bretanha.
- Além de baixar a carga, o script final também criou uma tarefa agendada para garantir que o mineiro permanecesse persistente.
Figura 4. Despejo de memória de um script do PowerShell usado nos ataques
O script final salvou o mineiro de moedas como o seguinte arquivo:
C: \ Windows \ System32 \ spool \ svchost.exe
O mineiro de moedas conectado à infra-estrutura de comando e controle em 5.100.251.106 hospedado em Israel. Outros mineradores de moedas implantados em campanhas anteriores que não exploravam o BlueKeep também se conectavam ao mesmo endereço IP.
Defendendo empresas contra o BlueKeep
Sinais de segurança e análises forenses mostram que o módulo BlueKeep Metasploit causou falhas em alguns casos, mas não podemos descontar aprimoramentos que provavelmente resultarão em ataques mais eficazes. Além disso, embora não tenha havido outros ataques verificados envolvendo ransomware ou outros tipos de malware até o momento, a exploração do BlueKeep provavelmente será usada para fornecer cargas úteis mais impactantes e prejudiciais do que os mineradores de moedas.
Os novos ataques de exploração mostram que o BlueKeep será uma ameaça enquanto os sistemas permanecerem sem patches, a higiene das credenciais não for alcançada e a postura geral de segurança não for mantida sob controle. Os clientes são incentivados a identificar e atualizar sistemas vulneráveis imediatamente. Muitos desses dispositivos não corrigidos podem ser dispositivos RDP não monitorados, colocados por fornecedores e terceiros para gerenciar ocasionalmente os sistemas dos clientes. Como o BlueKeep pode ser explorado sem deixar rastros óbvios, os clientes também devem inspecionar minuciosamente os sistemas que já podem estar infectados ou comprometidos.
Para isso, os clientes da Microsoft podem usar os recursos avançados da Proteção Avançada contra Ameaças do Microsoft Defender ( Microsoft Defender ATP ) para obter visibilidade das atividades de exploração e defender as redes contra ataques. Além das detecções de antivírus e EDR (Endpoint Detection and Response), lançamos um relatório de análise de ameaças para ajudar as equipes de operações de segurança a conduzir investigações específicas para essa ameaça. Também escrevemos consultas de busca avançadas que os clientes podem usar para procurar vários componentes do ataque.
FONTE: Microsoft