Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Pesquisa Recurso - BlogRecurso - WebinarRecurso - RelatórioRecurso - Eventoícones_066 ícones_067ícones_068ícones_069ícones_070

Blog da Tenable

Inscrever-se
  • Twitter
  • Facebook
  • LinkedIn

WatchBog Malware Adds BlueKeep Scanner (CVE-2019-0708), New Exploits (CVE-2019-10149, CVE-2019-11581)

WatchBog Malware Adds BlueKeep Scanner (CVE-2019-0708), New Exploits (CVE-2019-10149, CVE-2019-11581)

Scanner for “BlueKeep” vulnerability and newly minted exploits for Exim and Jira incorporated into cryptocurrency mining malware.

Contexto

On July 24, researchers at Intezer published a blog about a new variant of the WatchBog malware. WatchBog is a “cryptocurrency mining botnet” that deploys a Monero (XMR) miner on infected systems. WatchBog was previously identified by AlibabaCloud in May 2019, but there are some indications that it has been around since at least November 2018 based on a blog post from Sudhakar Bellamkonda.

Análise

Most notable in the new variant of WatchBog is a scanning module for BlueKeep (CVE-2019-0708), a critical remote code execution vulnerability in Microsoft’s Remote Desktop Service that was patched in May 2019, which included fixes for out-of-support versions of Windows. The scanner module appears to be a port of a proof-of-concept scanner published to GitHub nearly two months ago. However, the module variant described in the Intezer blog doesn’t contain any exploit code.

Nearly 80 days after the announcement of BlueKeep, threats of exploitation remain. Learn more here.

According to the researchers, WatchBog will scan a predefined list of IP addresses fetched from a command-and-control (C2) server to identify vulnerable Windows systems. The researchers surmise that the inclusion of such a module is to prepare for future attacks once exploit code does become public, or to sell the data on vulnerable systems to a third party.

In its latest iteration, WatchBog has incorporated new exploits in what is referred to as its “pwn” modules. These exploits are for two recently disclosed vulnerabilities and they include:

These two vulnerabilities join three other exploits in WatchBog’s “pwn” modules, as well as two bruteforcing modules targeting databases.

The following is the list of exploits, scanners and bruteforcing modules incorporated into WatchBog:

CVE Affected Product Patched Tipo Privileges
CVE-2018-1000861 Jenkins Dec 2018 Exploit Unauthenticated
CVE-2019-7238 Nexus Repository Manager 3 Feb 2019 Exploit Unauthenticated
CVE-2019-0192 Apache Solr Mar 2019 Exploit Unauthenticated
CVE-2019-10149 Exim Jun 2019 Exploit Unauthenticated
CVE-2019-11581 Atlassian Jira Server and Data Center Jul 2019 Exploit Both
CVE-2019-0708 Microsoft Remote Desktop Services May 2019 Scanner Unauthenticated
N/A CouchDB N/A Bruteforce N/A
N/A Redis N/A Bruteforce N/A

Proof of concept

There are proofs-of-concept (PoCs) available for all of the vulnerabilities used by WatchBog.

CVE Affected Product Proof of Concept Source
CVE-2018-1000861 Jenkins Blog
CVE-2019-7238 Nexus Repository Manager 3 GitHub
CVE-2019-0192 Apache Solr GitHub
CVE-2019-10149 Exim GitHub
CVE-2019-11581 Atlassian Jira Server and Data Center GitHub
CVE-2019-0708 Microsoft Remote Desktop Services GitHub

Solução

For Windows users, applying the patch to address BlueKeep is paramount. The inclusion of the BlueKeep scanner is worrisome enough, but the lingering possibility that exploit code may soon become public underscores the sheer importance of patching against it. This is highlighted by a recent report that there are over 800,000 systems vulnerable to BlueKeep that are still internet accessible.

All of the vulnerabilities leveraged by WatchBog have been patched over the last eight months. Users running Jenkins, Nexus Repository Manager 3, Apache Solr, Exim, Atlassian Jira Server and Data Center should apply the available patches as soon as possible.

If you have CouchDB or Redis servers in your environment, it is important to ensure that they’re not exposed publicly, but if they are, use strong and unique passwords and review the CouchDB and Redis security guides.

Identificação de sistemas afetados

A list of Tenable plugins to identify these vulnerabilities can be found here:

Additionally, customers can utilize custom YARA rules as well as the file scanning feature on Tenable.io and Nessus to scan for hashes associated with WatchBog on Linux hosts.

Using Tenable.io and Nessus to scan for hashes associated with WatchBog on Linux hosts

Customers can utilize custom YARA rules as well as the file scanning feature on Tenable.io and Nessus to scan for hashes associated with WatchBog on Linux hosts

The following Linux malicious file detection and YARA plugins are available to customers:

Intezer provided three SHA-256 sample hashes that can be used in a list of known bad hashes:

In the user interface, customers can provide a list of known bad hashes:

list of known bad hashes associated with WatchBog malware

There are some advanced options that customers can use to scan $PATH locations, /home as well as custom directories.

advanced options customers can use to scan $PATH locations, /home as well as custom directories to scan for bad hashes associated with WatchBog malware

advanced options customers can use to scan $PATH locations, /home as well as custom directories to scan for bad hashes associated with WatchBog malware

The following is an example scan result for known bad hashes for WatchBog:

example scan result for known bad hashes for WatchBog

Additionally, Intezer provided a custom YARA rule that can be used to identify unknown or newly discovered Watchbog samples. The following is an example scan output for the YARA file scanning plugin.

example scan output for the YARA file scanning plugin

Obtenha mais informações

Junte-se à equipe de resposta de segurança da Tenable na Tenable Community.

Saiba mais sobre a Tenable, a primeira plataforma de Cyber Exposure para o gerenciamento holístico da sua superfície de ataque moderna.

Get a free 60-day trial of Tenable.io Vulnerability Management.

Artigos relacionados

Você está vulnerável às últimas explorações?

Insira seu e-mail para receber os alertas de cyber exposure mais recentes em sua caixa de entrada.

Teste gratuito Comprar agora
Tenable.io AVALIAÇÃO GRATUITA POR 30 DIAS

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Inscreva-se agora mesmo.

Tenable.io COMPRAR

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

65 ativos

Escolha sua opção de assinatura:

Compre já
Teste gratuito Comprar agora

Teste gratuitamente o Nessus Professional

GRÁTIS POR 7 DIAS

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Comprar o Nessus Professional

O Nessus® é o verificador de vulnerabilidades mais abrangente do mercado atualmente. O Nessus Professional ajudará a automatizar o processo de verificação de vulnerabilidades, economizar tempo nos seus ciclos de conformidade e permitirá que você envolva a sua equipe de TI.

Compre uma licença para vários anos e economize. Inclua o Suporte avançado para ter acesso ao suporte por telefone, pela comunidade e por bate-papo 24 horas por dia, 365 dias por ano. Detalhes completos aqui.

Teste gratuito Comprar agora

Teste o Tenable.io Web Application Scanning

GRÁTIS POR 30 DIAS

Tenha acesso completo à nossa oferta mais recente de verificação de aplicações Web desenvolvida para aplicações modernas como parte da plataforma do Tenable.io. Verifique com segurança por vulnerabilidades em todo o seu portfólio online com um alto grau de precisão sem grandes esforços manuais ou interrupção de aplicações Web críticas. Inscreva-se agora mesmo.

Comprar o Tenable.io Web Application Scanning

Tenha acesso completo a uma plataforma moderna de gerenciamento de vulnerabilidades baseada na nuvem, que permite que você veja e rastreie todos os seus ativos com uma precisão sem precedentes. Compre hoje a sua assinatura anual.

5 FQDNs

US$ 3.578,00

Compre já

Teste gratuito Entre em contato com o setor de vendas

Teste o Tenable.io Container Security

GRÁTIS POR 30 DIAS

Tenha acesso completo à única oferta de segurança de contêiner integrada a uma plataforma de gerenciamento de vulnerabilidades. Monitore imagens de contêiner por vulnerabilidades, malware e violações de segurança. Unifique sistemas de integração contínua e implantação contínua (CI/CD) para dar suporte às práticas de DevOps, reforçar a segurança e ajudar na conformidade com as políticas da empresa.

Comprar o Tenable.io Container Security

O Tenable.io Container Security habilita com perfeição e segurança os processos de DevOps ao fornecer visibilidade da segurança das imagens de contêiner, incluindo vulnerabilidades, malware e violações de segurança através da integração com o processo de compilação.

Teste gratuito Entre em contato com o setor de vendas

Avalie o Tenable Lumin

GRÁTIS POR 30 DIAS

Visualize e explore sua Cyber Exposure, monitore a redução do risco ao longo do tempo e faça uma análise comparativa com outras empresas do mesmo setor com o Tenable Lumin.

Compre o Tenable Lumin

Entre em contato com um representante de vendas para ver como o Lumin pode ajudar você a obter informações sobre toda a organização e gerenciar o risco cibernético.