Kimsuky利用BlueKeep RDP漏洞攻击韩国和日本系统

近期，网络安全研究人员发现了一个与北朝鲜国家支持的威胁组织Kimsuky相关的新恶意活动，该活动利用了影响微软远程桌面服务（RDP）的一个已修复漏洞来获取初始访问权限。这一活动被AhnLab Security Intelligence Center（ASEC）命名为Larva-24005。本文将深入探讨这一漏洞及其利用方式，以及相关的防范措施。

了解BlueKeep漏洞

BlueKeep（CVE-2019-0708）是一个影响Microsoft Windows远程桌面服务的严重漏洞。这个漏洞允许未经身份验证的攻击者远程执行代码，进而控制受影响的系统。由于该漏洞存在于多个Windows版本中，包括Windows 7、Windows Server 2008等，攻击者只需发送特制的RDP请求即可触发漏洞。

尽管微软在2019年已经发布了补丁来修复此漏洞，但由于许多系统未及时更新，BlueKeep仍然是网络攻击者的一个重要攻击向量。Kimsuky正是利用这一点，对韩国和日本的目标展开攻击。

Kimsuky的攻击手法

Kimsuky的攻击活动通常包括几个阶段。首先，攻击者利用BlueKeep漏洞获取初始访问权限，一旦成功，他们可以在受害者的系统上部署后门程序，以便后续的攻击和数据窃取。具体的攻击步骤通常包括：

1. 扫描目标：利用自动化工具扫描互联网上的设备，寻找未打补丁的Windows系统。

2. 利用漏洞：通过发送特制的RDP请求，利用BlueKeep漏洞获得系统控制权。

3. 部署恶意软件：一旦获得访问权限，攻击者会在系统上安装恶意软件，例如信息窃取木马或后门程序。

4. 数据窃取：通过已安装的恶意软件，攻击者可以获取敏感信息，进而进行进一步的攻击活动。

防范措施

为了防止类似Kimsuky的攻击，组织应采取以下防范措施：

1. 及时更新系统：确保所有Windows系统及时安装最新的安全更新和补丁，特别是针对已知漏洞的补丁。

2. 禁用不必要的服务：如果不需要远程桌面服务，建议禁用RDP，降低攻击面。

3. 使用强身份验证：启用多因素身份验证（MFA），即使攻击者获得了访问权限，也难以进一步控制系统。

4. 监控网络流量：实施入侵检测系统（IDS）来监控异常的网络活动，及时响应可疑行为。

相关技术点

除了BlueKeep漏洞，网络安全领域还有许多类似的远程代码执行漏洞。例如：

• EternalBlue（CVE-2017-0144）：一个影响Windows SMB协议的漏洞，被广泛用于勒索病毒攻击。
• Zerologon（CVE-2020-1472）：一个影响Windows域控制器的漏洞，允许攻击者获取域管理员权限。

结语

Kimsuky利用BlueKeep漏洞的攻击事件再一次提醒我们，及时更新和强化网络安全防护措施是抵御网络威胁的关键。随着网络攻击手段的不断演变，组织需要保持警惕，定期审查和更新安全策略，以保护自身的网络环境和敏感数据。