近日,騰訊安全御見威脅情報中心捕獲到一個利用多種攻擊方式在內網傳播的挖礦木馬“快Go礦工”。該木馬利用永恒之藍漏洞(MS17-010)攻擊內網,并在中毒電腦中植入挖礦和遠控木馬。據統計,該病毒攻擊地區分布在全國各地,廣東、江蘇、河南、北京是受到攻擊的重災區。從行業來看,受病毒影響最嚴重的是IT行業,約占21%,目前已有近萬臺設備受到波及。
因該病毒在使用的C2域名中包含“kuai-Go”,騰訊安全技術專家將其命名為“快Go礦工”。對于已中招的企業用戶,建議盡快安裝“永恒之藍”等漏洞相關補丁,推薦使用騰訊御點終端安全管理系統進行查殺。
(圖:騰訊御點終端安全管理系統可實時攔截該木馬)
據騰訊安全技術專家介紹,該木馬利用雙脈沖星、永恒浪漫、永恒之藍等攻擊工具,對企業網絡發動攻擊,同時在被感染電腦中進行搜集信息、上傳下載文件、鍵盤記錄、執行任意程序等操作,中毒電腦面臨機密信息泄露風險。截止目前,該木馬已挖礦獲得門羅幣242.7個,折合人民幣9萬余元。
![C:\Users\pintertliu\Documents\Tencent Files\619019308\Image\C2C\P21]I@PERWUU9$$[OF]{NB0.png](upload/2019-10/191017164131302.png)
(圖:“快Go礦工”礦池挖礦收益)
此次“快Go礦工”利用的漏洞,正是曾被WannaCry等多種著名勒索病毒使用的永恒之藍漏洞。自2017年微軟發布永恒之藍相關漏洞補丁之后,截至目前,仍有約30%未修復的企業用戶面臨被攻擊的風險,給網絡安全埋下了巨大隱患。
事實上,不法黑客對易用又穩定的漏洞可謂愛不釋手,典型的當屬永恒之藍系列漏洞。2017年5月,不法黑客利用該漏洞主動傳播蠕蟲式勒索病毒,開啟了以WannaCry為代表的勒索病毒時代,有150多個國家和地區的超過20萬臺電腦遭到侵襲,包括政府、醫療、交通在內的多個部門受到影響。2018年3月,騰訊安全御見威脅情報中心監測發現,WannaMiner挖礦木馬利用永恒之藍漏洞在局域網內傳播,致使國內600多家企業超3萬臺電腦遭感染。2018年12月,借用某公司軟件升級通道傳播的某個永恒之藍下載器,經歷了20多個版本的迭代,依然活躍在病毒界,對企業安全造成不小威脅。
面對此次來勢洶洶的“快Go礦工”木馬,騰訊安全反病毒實驗室負責人馬勁松提醒企業用戶注意內網安全防范,盡量關閉135、139、445等不必要的網絡端口;及時下載并更新Windows系統補丁并修復永恒之藍系列漏洞,或嘗試手動方法清除;同時對重要文件和數據(數據庫等數據)進行定期非本地備份。
此外,騰訊安全技術專家建議,企業用戶可全網安裝騰訊御界高級威脅檢測系統,檢測未知黑客的各種可疑攻擊行為。騰訊御界高級威脅檢測系統,是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。能及時阻止不法黑客入侵,全方位保障企業自身的網絡安全。
(圖:騰訊御界高級威脅檢測系統)
