近日,騰訊安全御見威脅情報(bào)中心捕獲到一個(gè)利用多種攻擊方式在內(nèi)網(wǎng)傳播的挖礦木馬“快Go礦工”。該木馬利用永恒之藍(lán)漏洞(MS17-010)攻擊內(nèi)網(wǎng),并在中毒電腦中植入挖礦和遠(yuǎn)控木馬。據(jù)統(tǒng)計(jì),該病毒攻擊地區(qū)分布在全國各地,廣東、江蘇、河南、北京是受到攻擊的重災(zāi)區(qū)。從行業(yè)來看,受病毒影響最嚴(yán)重的是IT行業(yè),約占21%,目前已有近萬臺(tái)設(shè)備受到波及。
因該病毒在使用的C2域名中包含“kuai-Go”,騰訊安全技術(shù)專家將其命名為“快Go礦工”。對(duì)于已中招的企業(yè)用戶,建議盡快安裝“永恒之藍(lán)”等漏洞相關(guān)補(bǔ)丁,推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)進(jìn)行查殺。
(圖:騰訊御點(diǎn)終端安全管理系統(tǒng)可實(shí)時(shí)攔截該木馬)
據(jù)騰訊安全技術(shù)專家介紹,該木馬利用雙脈沖星、永恒浪漫、永恒之藍(lán)等攻擊工具,對(duì)企業(yè)網(wǎng)絡(luò)發(fā)動(dòng)攻擊,同時(shí)在被感染電腦中進(jìn)行搜集信息、上傳下載文件、鍵盤記錄、執(zhí)行任意程序等操作,中毒電腦面臨機(jī)密信息泄露風(fēng)險(xiǎn)。截止目前,該木馬已挖礦獲得門羅幣242.7個(gè),折合人民幣9萬余元。
![C:\Users\pintertliu\Documents\Tencent Files\619019308\Image\C2C\P21]I@PERWUU9$$[OF]{NB0.png](upload/2019-10/191017164131302.png)
(圖:“快Go礦工”礦池挖礦收益)
此次“快Go礦工”利用的漏洞,正是曾被WannaCry等多種著名勒索病毒使用的永恒之藍(lán)漏洞。自2017年微軟發(fā)布永恒之藍(lán)相關(guān)漏洞補(bǔ)丁之后,截至目前,仍有約30%未修復(fù)的企業(yè)用戶面臨被攻擊的風(fēng)險(xiǎn),給網(wǎng)絡(luò)安全埋下了巨大隱患。
事實(shí)上,不法黑客對(duì)易用又穩(wěn)定的漏洞可謂愛不釋手,典型的當(dāng)屬永恒之藍(lán)系列漏洞。2017年5月,不法黑客利用該漏洞主動(dòng)傳播蠕蟲式勒索病毒,開啟了以WannaCry為代表的勒索病毒時(shí)代,有150多個(gè)國家和地區(qū)的超過20萬臺(tái)電腦遭到侵襲,包括政府、醫(yī)療、交通在內(nèi)的多個(gè)部門受到影響。2018年3月,騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),WannaMiner挖礦木馬利用永恒之藍(lán)漏洞在局域網(wǎng)內(nèi)傳播,致使國內(nèi)600多家企業(yè)超3萬臺(tái)電腦遭感染。2018年12月,借用某公司軟件升級(jí)通道傳播的某個(gè)永恒之藍(lán)下載器,經(jīng)歷了20多個(gè)版本的迭代,依然活躍在病毒界,對(duì)企業(yè)安全造成不小威脅。
面對(duì)此次來勢(shì)洶洶的“快Go礦工”木馬,騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒企業(yè)用戶注意內(nèi)網(wǎng)安全防范,盡量關(guān)閉135、139、445等不必要的網(wǎng)絡(luò)端口;及時(shí)下載并更新Windows系統(tǒng)補(bǔ)丁并修復(fù)永恒之藍(lán)系列漏洞,或嘗試手動(dòng)方法清除;同時(shí)對(duì)重要文件和數(shù)據(jù)(數(shù)據(jù)庫等數(shù)據(jù))進(jìn)行定期非本地備份。
此外,騰訊安全技術(shù)專家建議,企業(yè)用戶可全網(wǎng)安裝騰訊御界高級(jí)威脅檢測(cè)系統(tǒng),檢測(cè)未知黑客的各種可疑攻擊行為。騰訊御界高級(jí)威脅檢測(cè)系統(tǒng),是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊在云和端的海量數(shù)據(jù),研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。能及時(shí)阻止不法黑客入侵,全方位保障企業(yè)自身的網(wǎng)絡(luò)安全。
(圖:騰訊御界高級(jí)威脅檢測(cè)系統(tǒng))
