Kemarin
, muncul informasi tentang upaya untuk mengeksploitasi BlueKeep (CVE-2019-0708), kerentanan kritis RCE di Windows, dengan tujuan memasang penambang Monero crypto. Peneliti Kevin Beamount, tweeted bahwa beberapa host dari jaringannya RDP Hanipots tersisa di negara bagian BSOD, dengan Uptime gabungan mereka sampai saat itu hampir berusia 6 bulan.
Analisis crash dump RAM diizinkan untuk mendeteksi jejak
shellcode yang dirancang untuk mengunduh dan menjalankan cryptominer dari server jauh dengan menjalankan skrip PowerShell. Pada saat yang sama, shellcode ini identik dengan shellcode dari modul BlueKeep dalam proyek Metasploit.
Berikut ini adalah sejarah umum peristiwa yang terkait dengan kerentanan ini.
Perlu dicatat bahwa kegiatan yang terdeteksi minggu lalu adalah upaya kedua yang terkenal oleh penjahat cyber untuk memasukkan kode dari publik tentang BlueKeep dalam proyek mereka. Ingatlah bahwa pada akhir Juli
diketahui bahwa Lunix malware Watchbog memiliki modul untuk sistem pemindaian yang rentan terhadap BlueKeep.
Meminjam kode dari publik, serta meninggalkan server dari jaringan RDP Honeypot ke status BSOD, menunjukkan bahwa saat ini, penyerang yang mencoba menginfeksi server dengan penambang Monero crypto tidak memiliki exploit yang stabil dan hanya mencoba mengasah kemampuan mereka. Namun demikian, kronologi peristiwa menunjukkan bahwa segera kita akan melihat bagian kode yang mengoperasikan BlueKeep, sebagai bagian dari beragam keluarga jahat.
Perlu diingat bahwa BlueKeep bukan satu-satunya kerentanan yang ditujukan untuk mengimplementasikan protokol RDP. Sebelumnya, kami
menulis tentang kerentanan DejaBlue (CVE-2019-1181 / 1182), yang memiliki jangkauan potensial jauh lebih besar, karena versi Windows terbaru dipengaruhi oleh mereka.
Kami sangat menyarankan agar Anda melakukan inventarisasi layanan yang diterbitkan perusahaan Anda dan menindaklanjuti rekomendasi yang kami
buat sebelumnya.