Bluekeep kwetsbaarheid wordt actief misbruikt

Actief misbruik Bluekeep kwetsbaarheid ontdekt

Op 2 november 2019 werd er gerapporteerd door security onderzoeker Kevin Beamont dat zijn BlueKeep honeypot verschillende keren is gecrashet en waarschijnlijk actief misbruikt. Verschillende security onderzoekers van Microsoft en een andere onderzoeker Marcus Hutchins hebben samengewerkt met Beamont om deze crashes te onderzoeken en kunnen bevestigen dat deze werden veroorzaakt door een Bluekeep exploit module voor Metasploit.

Bluekeep is de naam die onderzoekers en de media hebben gegeven aan CVE-2019-0708, waarbij het gaat om een ongeautoriserde remote code execution (RCE) kwetsbaarheid voor Remote Desktop Services (RDS) in Windows 7, Server 2008 & Server 2008 R2. Microsoft heeft hiervor al op 14 mei 2019 een security patch uitgebracht.

Begin september had Microsoft een gedragsdetectie module uitgebracht om de BlueKeep Metasploit module te detecteren, iedere Microsoft Defender ATP klant had hiermee protectie tegen de Metasploit module. Deze Metasploit module lijkt onstabiel op basis van de vele RDP gerelateerde crashes op de honeypot, welke de gedragsdetectie van Microsoft Defender ATP hadden getriggerd, waarmee kritieke signalen konden worden verzameld tijdens het onderzoek.

Er is een toename van RDP service crashes waargenomen van 10 tot 100 dagelijks, welke begonnen op 6 september 2019, wanneer de Bluekeep Metasploit module was uitgebracht. Ook is een eer zelfde toename gedetecteerd in “memory corruption crashes” vanaf 9 oktober 2019. De crashes op de Honeypot van Beamont begonnen op 23 oktober 2019. In de onderstaande grafiek valt te toename te zien van de RDP gerelateerde service crashes.

Coin miner campagnes die gebruik maken van de Bluekeep exploit

Door gebruik te maken van de “indicators of compromise” en gebruik te maken van verschillende gerelateerde “signal intelligence”, hebben de Microsoft security onderzoekers een coin mining campagne van september gevonden die gebruik maakte van dezelfde command & control infrastructuur als de Bluekeep Metasploit campagne van oktober. Er zijn gevallen bekend waarbij het systeem niet is gecrasht en hier is gedetecteerd dat er een coin miner is geinstalleerd. Op basis van deze gegevens is het zeer waarschijnlijk dat dezelfde aanvallers verantwoordelijk zijn voor beide campagne’s. Deze aanvallers waren al actief bezig met verschillende coin miner aanvallen en hebben de Bluekeep exploit gebruikt als een extra optie.

Via machine learning is de coin miner payload die gebruikt wordt in deze aanvallen gedetecteerd op onder andere machines in Frankrijk, Rusland, Italië, Spanje, Oekraïne, Duitsland, het Verenigd Koninkrijk en verschillende andere landen. Onderstaande cirkel diagram geeft in percentages aan hoe vaak de detecties zijn voorgekomen per land ten opzichte van het totaal aantal detecties.

Hoe kwamen deze aanvallen tot stand

Naar alle waarschijnlijkheid zijn er eerst poortscans uitgevoerd om kwetsbare RDP services te detecteren die via internet benaderbaar zijn. Wanneer aanvallers deze kwetsbare machines hebben gevonden, hebben ze gebruik gemaakt van de Bluekeep Metasploit module om een PowerShell script te draaien die daarna verschillende andere PowerShell scripts te downloaden en daarna op te starten.

Het gedrag van deze PowerShell scripts is gedetecteert door voornamelijk gebruik te maken van memory dumps. Waarbij de volgende activiteiten zijn gedetecteerd:

  1. Het eerste script download een ander geëncodeerd PowerShell script van een remote server van de aanvaller (IP = 5.135.199.19), welke wordt gehost in Frankrijk en wordt benaderd via poort 443;
  2. Dit script download en start vervolgens 3 tot 4 andere geëncodeerde PowerShell scripts;
  3. Het laatste script download de coin miner payload van een andere remote server van de aanvaller (IP = 109.176.117.11), welke wordt gehost in het Verenigd Koninkrijk.
  4. Naast het downloaden van de payload, zorgt dit laatste script er ook voor dat er een scheduled task wordt gemaakt op het kwetsbare systeem, zodat deze coin miner actief blijft.

Het script slaat de coin miner op de kwetsbare machine op als het volgende bestand: “C:\Windows\System32\spool\svchost.exe”

Deze coin miner maakt een connectie met een command & control infrastructuur die wordt gehost in Israel met IP-adres 5.100.251.106. Andere coin miners die zijn gebruikt in eerdere campagnes en geen gebruik maakten van de BlueKeep exploit, maakten ook een verbinding met hetzelfde IP-adres.

Het beschermen van bedrijven tegen BlueKeep

Security signalen en forensische analyses hebben aangetoond dat de BlueKeep Metasploit module in sommige gevallen crashes heeft veroorzaakt. In de toekomst wordt er verwacht dat er verbeteringen worden uitgevoerd welke zullen resulteren in effectievere aanvallen. Op dit moment zijn er nog geen andere campagnes bekend die gerelateerd zijn aan ransomware of andere malware types, maar naar verwachting zal de Bluekeep exploit worden misbruikt om payloads te gebruiken op kwetsbare machines die meer impact hebben en schade veroorzaken, dan coin miners.

Deze nieuwe exploit aanvallen laten zien dat BlueKeep een dreiging zal blijven zolang er nog steeds ongepatchde machines beschikbaar zijn, credential hygiëne wordt niet gebruikt en de algemen security houding wordt niet bijgehouden. Wij adviseren bedrijven om kwetsbare machines te detecteren en direct te updaten. Veel van deze machines zijn waarschijnlijk ongepatchde RDP machines van leveranciers en andere derde partijen, die gebruikt worden om af en toe beheer uit te voeren op systemen van de klant. Er kan misbruik gemaakt worden van BlueKeep zonder dat hier directe indicatie van is, daarom is het te adviseren om zeer goed systemen te inspecteren die mogelijk al geïnfecteerd of gecompromitteerd zijn.

Om deze mogelijke exploit activiteiten in kaart te brengen zijn je gebruik kunnen maken van de Microsoft Defender Advanced Threat Protection. Ook is er een threat analytics rapport gemaakt om security operation teams te helpen met onderzoek naar deze specifieke dreiging. ook zijn er advanced hunting queries gemaakt waarmee klanten kunnen zoeken naar meerdere componenten van de aanval.

Ransomware
Nieuwe Ransomware: Het .Meka virus

Gerelateerde berichten

No results found

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden

veertien + vijftien =

Menu